[問題文・解答]
平成28年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問2の解説を2回に分けて行います。今回は1回目(前半)です。
平成28年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H28春 午後2 問題文] [H28春 午後2 解答]
[問題概要]
題材は、モバイル端末のマルウェア感染についてです。概要は以下の通りで、今回は前半部分の解説を行います。
(前半部分)P.15〜P.21中段 設問1〜3該当範囲
- Q社では社員がモバイルPCからクラウドサービスに接続して業務を行っている。
- モバイルPCのマルウェア検知が連続で発生したため調査した結果、PCが未知のマルウェアに感染しており、C&Cサーバにアクセスして別のマルウェアMを何度もダウンロードしていることが判明した。
- 更なる調査で未知のマルウェアはPCにインストール済みの標準ソフトの脆弱性を利用してWebサイトからドライブバイダウンロードされていた。
- Q社では当該PCから外部に送信されたHTTP通信のコンテンツサイズから外部へのPJ情報漏えいはないと判断した。
(後半部分)P.21中段〜P.26上段 設問4〜5該当範囲
- 委託元へ調査結果を報告したが更なる対応が必要となり追加調査を行った。
- マルウェア感染の再発防止策として標準ソフトの管理方法の見直しを行った。
- 未知マルウェアに感染した場合の対策としてブートイメージからの復元方法について検討した。
[設問1]
(1)
問題文中の以下の記述より、当該マルウェアはHTTPリクエストヘッダのUAを規定の標準ブラウザからDL2に変更して通信していたことが分かります。
- P.18下段「当該URLへのHTTP通信は、HTTPリクエストヘッダのUgent-Agent(以下、UA)が標準ブラウザと異なっていた」
- 表3 Jプロキシの該当ログのUA欄が全て"DL2"
- P.19上段「アクセス先URLは異なるものの、PC01は、1月25日以降ほぼ毎日UAがDL2の通信を行っていた」
また、下線①より、UAが標準ブラウザで当該アクセス先URLにアクセスすると"404 Not Found"が返ってくることから、アクセス先のC&CサーバではUAがDL2なら通信を許可し、DL2以外(標準ブラウザなど)なら"404 Not Found"を返す設定となっていることが分かります。
[答] UAがDL2以外の場合には、"404 Not Found"を返す。
(2)
表1 Jプロキシの機能概要欄「URLフィルタ機能、及びHTTPリクエストヘッダの文字列検査によるフィルタ機能(以下、RHフィルタという)を提供する。」とあります。
今回のマルウェアは、C&CサーバのURL宛にHTTPリクエストヘッダのUAをDL2に変更して通信を行っていることから、上記のURLフィルタ機能とRHフィルタ機能を使えば、該当する通信を検知・拒否することが出来ます。
表2 プロキシの概要欄よりモバイルPCは「インターネット上のWebサイトへのアクセスは自動的にJプロキシを利用するよう設定されている」ため、上記の2つの機能は有効です。
今回のマルウェアは、C&CサーバのURL宛にHTTPリクエストヘッダのUAをDL2に変更して通信を行っていることから、上記のURLフィルタ機能とRHフィルタ機能を使えば、該当する通信を検知・拒否することが出来ます。
表2 プロキシの概要欄よりモバイルPCは「インターネット上のWebサイトへのアクセスは自動的にJプロキシを利用するよう設定されている」ため、上記の2つの機能は有効です。
[答] ・JプロキシのURLフィルタ機能
・JプロキシのRHフィルタ機能
[設問2]
DLLインジェクション
アプリケーションのDLL呼び出しを横取りして、DLLに本来の処理とは異なる処理を行わせる攻撃。
これは知らないと答えるのは難しい問題です。
[答] DLL
[設問3]
(1)
ドライブバイダウンロード
Webサイトにアクセスした際にユーザの意図しない所で、ウイルスなどの不正プログラムをダウンロードさせる攻撃で、主にOSやアプリケーションの脆弱性を利用して行われる。
b) これも知らないと厳しい問題です。
c) Cさんは、P.20下段〜P.21上段「PC01だけは、PJ情報を含むファイルがハードディスク上に複数保管されており、いずれも圧縮状態で200kバイト以上であった。」のに対して、P.21上段「PC01から外部に送信されたHTTP通信のCCLが、全て2kバイト未満であることを示していた」ことからPJ情報の漏えいは無かったと判断しています。つまり、PJ情報のファイルサイズが外部送信された1個1個のデータサイズよりも大きいからPJ情報のファイルは外部に漏れていないと考えた訳ですが、ファイルを分割して送信していた可能性も考えられる為、この結論は間違っています。
[答] b) ドライブバイ c) 分割
(2)
ハードディスク以外のデータの保存先として表1に出てくるH社Webメール、N社コラボ、P社CRMツールや表2に出てくる可搬記憶媒体が考えられます。
解答としてはこれらのうちいずれか2つを答えれば良いのでサービス問題だと思います。
解答としてはこれらのうちいずれか2つを答えれば良いのでサービス問題だと思います。
[答] 以下のうちいずれか2つ
・H社Webメール ・Nコラボ ・可搬記憶媒体 ・P社CRMツール
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿