[平成２８年度春] 午後2 問2 解説②

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後2 問題文]　　　[H28春 午後2 解答]

[問題概要]

題材は、モバイル端末のマルウェア感染についてです。

概要は以下の通りで、今回は後半部分の解説を行います。
（前半部分）P.15〜P.21中段　設問1〜3該当範囲

• Q社では社員がモバイルPCからクラウドサービスに接続して業務を行っている。
• モバイルPCのマルウェア検知が連続で発生したため調査した結果、PCが未知のマルウェアに感染しており、C&Cサーバにアクセスして別のマルウェアMを何度もダウンロードしていることが判明した。
• 更なる調査で未知のマルウェアはPCにインストール済みの標準ソフトの脆弱性を利用してWebサイトからドライブバイダウンロードされていた。
• Q社では当該PCから外部に送信されたHTTP通信のコンテンツサイズから外部へのPJ情報漏えいはないと判断した。

（後半部分）P.21中段〜P.26上段　設問4〜5該当範囲

• 委託元へ調査結果を報告したが更なる対応が必要となり追加調査を行った。
• マルウェア感染の再発防止策として標準ソフトの管理方法の見直しを行った。
• 未知マルウェアに感染した場合の対策としてブートイメージからの復元方法について検討した。

[設問4]

P.21中段の記述より今回脆弱性を利用されたビューアVは、以前に業務上必要だったため標準ソフトとして導入されたが、現在は必要無くなっていました。Q社では、標準ソフトの脆弱性を管理しておらず、修正パッチの適用も強制していなかった為、今回の攻撃を受ける原因となっています。従って、必要なのは標準ソフトの定期的な見直しと脆弱性修正パッチの適用です。修正パッチの適用については、表4の項番1で対策済みなので、項番2では標準ソフトの見直しが必要となります。

[答] 見直し

[設問5]

(1)

表2 ハードディスクの暗号化の概要欄より「認証が成功すると、ハードディスクへの書込み時の暗号化と読出し時の復号化を透過的に行うようになり、その後OSを起動する。OSからは、ハードディスク内のデータが平文で格納されているかのようにアクセスできる。」とあることから、OS上で動作するマルウェアからもハードディスクの内容は透過的に見えてしまうため、情報漏えい対策としては役に立ちません。

[答] マルウェアからハードディスク内の情報が透過的に見えてしまうから。

(2)

ブートイメージからの復元ではブートイメージを作成した時点でのセキュリティ設定状態で保存されるため、その後に更新されたセキュリティ設定は戻ってしまいます。表2よりモバイルPCが定期的に更新するセキュリティ設定は、AMのマルウェア定義ファイルやOSの修正パッチの２つがあります。

[答] ・AMのマルウェア定義ファイルが初期状態に戻る。

　　・セキュリティパッチが適用前の状態に戻る。

(3)

要件2：仮想端末との間では、画面及びキーボード・マウスの操作データだけの送受信を許可する。
上記の要件2を満たしたとしても画面情報や操作履歴は窃取が可能となります。

[答] 画面などの情報からのデータの窃取

(4)

VDI実装による方式では、モバイルPCが通信するのはVDIサーバのみであり、VDIサーバ上のゲストOSから各種クラウドサービスへアクセスすることになります。
従って、図1の項目３「Q社貸与のモバイルPC及び社内LANからの、HTTP及びHTTP over TLSによるアクセスだけを許可するよう設定する。」の部分を「VDIサーバ及び社内LANからの〜」と変更する必要があります。

[答] 項目) 3

　  変更後案) VDIサーバ及び社内LANからのHTTP及びHTTPS通信によるアクセスだけを許可するよう設定する。

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。