応用情報技術者試験 過去問 2022年(令和4年) 秋期 午後 問1

マルウェアへの対応策

P社は,従業員数400名のIT関連製品の卸売会社であり,300社の販売代理店をもっている。P社では,販売代理店向けに,インターネット経由で商品情報の提供,見積書の作成を行う代理店サーバを運用している。また,従業員向けに,代理店ごとの卸価格や担当者の情報を管理する顧客サーバを運用している。代理店サーバ及び顧客サーバには,HTTP Over TLSでアクセスする。

P社のネットワークの運用及び情報セキュリティインシデント対応は,情報システム部(以下,システム部という)の運用グループが行っている。

P社のネットワーク構成を図1に示す。

P社のネットワーク構成図
図1 P社のネットワーク構成

【セキュリティ対策の現状】

P社では,複数のサーバ,PC及びネットワーク機器を運用しており,それらに次のセキュリティ対策を実施している。

  • aでは,インターネットとDMZ間及び内部LANとDMZ間で業務に必要な通信だけを許可し,通信ログ及び遮断ログを取得する。
  • bでは,SPF(Sender Policy Framework)機能によって送信元ドメイン認証を行い,送信元メールアドレスがなりすまされた電子メール(以下,電子メールをメールという)を隔離する。
  • 外部DNSサーバでは,DMZのゾーン情報の管理のほかに,キャッシュサーバの機能を稼働させており,外部DNSサーバを①DDoSの踏み台とする攻撃への対策を行う。
  • P社からインターネット上のWebサーバへのアクセスは,DMZのプロキシサーバを経由し,プロキシサーバでは,通信ログを取得する。
  • PC及びサーバで稼働するマルウェア対策ソフトは,毎日,決められた時刻にベンダーのWebサイトをチェックし,マルウェア定義ファイルが新たに登録されている場合は,ダウンロードして更新する。
  • システム部の担当者は,毎日,ベンダーのWebサイトをチェックし,OSのセキュリティパッチやアップデート版の有無を確認する。最新版が更新されている場合は,ダウンロードして検証LANで動作確認を1週間程度行う。動作に問題がなければ,PC向けのものはcに登録し,サーバ向けのものは,休日に担当者が各サーバに対して更新作業を行う。
  • PCは,電源投入時にcにアクセスし,更新が必要な新しい版が登録されている場合は,ダウンロードして更新処理を行う。
  • FW及びプロキシサーバのログの検査は,担当者が週に1回実施する。

【マルウェアXの調査】

ある日,システム部のQ課長は,マルウェアXの被害が社外で多発していることを知り,R主任にマルウェアXの調査を指示した。R主任による調査結果を次に示す。

  1. 攻撃者は,不正なマクロを含む文書ファイル(以下,マクロ付き文書ファイルAという)をメールに添付して送信する。
  2. 受信者が,添付されたマクロ付き文書ファイルAを開きマクロを実行させると,マルウェアへの指令や不正アクセスの制御を行うインターネット上のC&Cサーバと通信が行われ,マルウェアXの本体がダウンロードされる。
  3. PCに侵入したマルウェアXは,内部ネットワークの探索,情報の窃取,窃取した情報のC&Cサーバへの送信及び感染拡大を,次の(a)~(d)の手順で試みる。
    1. ②PCが接続するセグメント及び社内の他のセグメントの全てのホストアドレス宛てに,宛先アドレスを変えながらICMPエコー要求パケットを送信し,連続してホストの情報を取得する。
    2. ③(a)によって情報を取得できたホストに対して,攻撃対象のポート番号をセットしたTCPのSYNパケットを送信し,応答内容を確認する。
    3. (b)でSYN/ACKの応答があった場合,指定したポート番号のサービスの脆弱性を悪用して個人情報や秘密情報などを窃取し,C&Cサーバに送信する。
    4. 侵入したPCに保存されている過去にやり取りされたメールを悪用し,当該PC上でマクロ付き文書ファイルAを添付した返信メールを作成し,このメールを取引先などに送信して感染拡大を試みる。

R主任が調査結果をQ課長に報告したとき,2人の会話を次に示す。

Q課長: マルウェアXに対して,現在の対策で十分だろうか。

R主任: 十分ではないと考えます。文書ファイルに組み込まれたマクロは,容易に処理内容が分析できない構造になっており,マルウェア対策ソフトでは発見できない場合があります。また,④マルウェアXに感染した社外のPCから送られてきたメールは,SPF機能ではなりすましが発見できません。

Q課長: それでは,マルウェアXに対する有効な対策を考えてくれないか。

R主任: 分かりました。セキュリティサービス会社のS社に相談してみます。

【マルウェアXへの対応策】

R主任は,現在のセキュリティ対策の内容をS社に説明し,マルウェアXに対する対応策の提案を求めた。S社から,セキュリティパッチの適用やログの検査が迅速に行われていないという問題が指摘され,マルウェアX侵入の早期発見,侵入後の活動の抑止及び被害内容の把握を目的として,EDR(Endpoint Detection and Response)システム(以下,EDRという)の導入を提案された。

S社が提案したEDRの構成と機能概要を次に示す。

  • EDRは,管理サーバ,及びPCに導入するエージェントから構成される。
  • 管理サーバは,エージェントの設定,エージェントから受信したログの保存,分析及び分析結果の可視化などの機能をもつ。
  • エージェントは,次の(i),(ii)の処理を行うことができる。
    1. PCで実行されたコマンド,通信内容,ファイル操作などのイベントのログを管理サーバに送信する。
    2. PCのプロセスを監視し,あらかじめ設定した条件に合致した動作が行われたことを検知した場合に,設定した対応策を実施する。例えば,EDRは,(a)~(c)に示した⑤マルウェアXの活動を検知した場合に,⑥内部ネットワークの探索を防ぐなどの緊急措置をPCに対して実施することができる。

R主任は,S社の提案を基に,マルウェアXの侵入時の対応策をまとめ,Q課長にEDRの導入を提案した。提案内容は承認され,EDRの導入が決定した。

出典:令和4年度 秋期 応用情報技術者試験 午後 問1