情報処理安全確保支援士試験 過去問 2019年(令和元年) 秋期 午後Ⅰ 問2
セキュリティインシデント対応におけるサイバーセキュリティ情報の活用
Z社は、従業員数150名の金融事業会社である。事業規模は小さいが、多くの個人情報を扱っている。サイバーセキュリティ情報を共有し、サイバー攻撃への防御力を高める目的で活動する組織(ISAC:Information Sharing and Analysis Center)に最近加盟した。Z社には5名で構成されるIT部門があり、ITシステムの運用や管理を行っている。Z社のネットワーク構成を図1に示す。
FWのフィルタリングルールを表1に、図1中に記載された機器の詳細を表2に示す。
| 項番 | 送信元 | 宛先 | サービス | 動作 |
|---|---|---|---|---|
| 1 | オフィスセグメント | DMZ | HTTP, HTTPS, DNS, POP, SMTP | 許可 |
| 2 | オフィスセグメント | 内部サーバセグメント | HTTP, HTTPS, 認証サービス, DNS | 許可 |
| 3 | 全て | インターネット | DNS | 許可 |
| 4 | インターネット | DMZ | HTTP, HTTPS, SMTP | 許可 |
| 5 | DMZ | インターネット | HTTP, HTTPS, SMTP | 許可 |
| 6 | 内部サーバセグメント | オフィスセグメント | 認証サービス | 許可 |
| 7 | 全て | 全て | 全て | 拒否 |
注記:項番が小さいルールから順に、最初に一致したルールが適用される。
| 記号 | 機器 | 詳細 | 取得ログ |
|---|---|---|---|
| (a) | PC |
|
|
| (b) | FW | ステートフルパケットインスペクション型のFWである。 | 動作ログ |
| (c) | プロキシサーバ | PCからインターネット上のWebサイトへのHTTP及びHTTPS通信を中継する。PCからインターネットにアクセスするためには利用者IDとパスワードによるBASIC認証(以下、PCからインターネットにアクセスする際にプロキシサーバで実施されるBASIC認証をプロキシ認証という)を必須としている。プロキシ認証に必要なアカウント情報(以下、プロキシ認証情報という)は、プロキシサーバ内に保存されている。 |
|
| (d) | 外部DNSサーバ | (省略) | なし |
| (e) | メールサーバ | 社内外とのメールの送受信に利用する。プロトコルはPOPとSMTPを使用する。 |
|
| (f) | 認証サーバ | 従業員がPCにログインする際に、PCに入力された利用者IDとパスワードで従業員を認証する。認証成功後に、PCが利用できる。 |
|
| (g) | 内部DNSサーバ | (省略) | なし |
ISACからの情報提供と対応
20XX年11月19日、Z社はISACから、サイバーセキュリティ情報の提供を受けた。当該情報の概要を図2に示す。
- A) 20XX年11月17日、金融事業会社Q社において従業員が社内で利用している利用者IDとパスワードが窃取され、某掲示板に投稿されるという攻撃が発見された。
- B) 利用者IDとパスワードの窃取には、マルウェアYの亜種の一つであるマルウェアPが使用された。
- C) 攻撃グループXは、マルウェアYとその亜種を使用することで知られており、今回の攻撃も攻撃グループXによる可能性が高い。
- D) 攻撃グループXは、当該掲示板において、マルウェアを利用してZ社の利用者IDとパスワードを窃取する計画を立てていた。しかし、会話は途中までしか確認されておらず、実際に計画を実行したかは不明である。
- E) 攻撃グループXの過去の活動について、次のことが確認されている。
- (あ) 攻撃グループXは、メールでマルウェアを配信する。同じマルウェアを攻撃対象ごとに名前だけ変更して送付することもあれば、業務に似せただけ攻撃対象ごとにコードの一部とファイル名を変更したマルウェアの亜種を送付することもある。
- (い) マルウェアは、侵入後、窃取する重要情報を探すため、内部ネットワークの探索を行う。窃取する情報を持ち出す際には、まず、窃取する情報を暗号化し、一定のサイズに分割する。その後、C&C(Command and Control)通信を使用して持ち出す。
- (う) C&C通信には、HTTP又はDNSプロトコルを使用する。HTTPの場合、Webブラウザに偽装されたプロキシサーバのIPアドレスを確認し、プロキシサーバ経由でC&Cサーバと通信する。DNSプロトコルの場合、パブリックDNSサービスLを経由して通信する。攻撃対象となる組織が管理するDNSサーバを経由してC&Cサーバと通信する事例は報告されていない。
注記:パブリックDNSサービスとは、インターネット上に公開され、誰でも自由に利用可能なフルサービスリゾルバ型のDNSサービスのことである。
攻撃グループXがZ社を攻撃する計画を立てていたことを重く見たZ社は、実際に攻撃を受けたかの調査を開始した。IT部門のK部長がプロジェクトリーダとなり、部下のHさんが調査した。図3にHさんの調査結果を示す。
- A) 最新のマルウェア定義ファイルを用いてZ社の全PCをスキャンしたが、マルウェアは検知されなかった。
- B) ISACから提供されたマルウェアPの情報を用いてEDRで調査したところ、1台のPC(以下、PC-Vという)がマルウェアPに感染していることを発見した。更に調査したところ、次のことが判明した。
- (あ) マルウェアPは Am3XPxvR7.exe というファイル名で、PC-VのローカルストレージのフォルダNに配置されていた。
- (い) 20XX年11月18日 11:09、PC-Vを利用している従業員が、表計算ファイルを装ったメールの添付ファイルをクリックしたことで、PC-VがマルウェアPに感染した。
- (う) マルウェアPは、汎用検索サービスA及びグローバルIPアドレスMへのHTTPによる通信を試みたが、①当該通信はZ社のネットワーク環境によって遮断されていたことがプロキシサーバのログに記録されていた。
- C) 追加調査から、グローバルIPアドレスMは、攻撃グループXのC&Cサーバに割り当てられたIPアドレスだと判明した。
- D) Z社が導入しているEDRでは、DNSプロトコルによる通信を記録しない設定となっていたが、パブリックDNSサービスLに対してDNSプロトコルによる通信が発生すれば、aのログに記録される。当該ログを調査したところ、該当する通信がなかったことを確認した。
- E) 全PCを対象にグローバルIPアドレスMとの通信の有無について、EDRを使って調査したところ、あるPC(以下、PC-Tという)のローカルストレージのフォルダNに bV6fZq3hi.exe というファイルが配置され、グローバルIPアドレスMとの通信を試みたことを示すログを発見した。更に調査したところ、次のことが判明した。
- (あ) bV6fZq3hi.exe について セキュリティベンダの協力を仰いで調査した結果、マルウェアYの亜種の一つであるマルウェアRであった。
- (い) 20XX年11月18日 16:15、PC-TはPC-Vと同じ方法で感染した。
- (う) マルウェアRは、汎用検索サービスA及びグローバルIPアドレスMへのHTTPによる通信を試みたが、マルウェアPの場合と同様、遮断されていた。
- F) ISACから提供された情報を基に、②情報持ち出し成功時に残る痕跡を調査したが、該当する痕跡は確認できなかった。
- A)~F)の調査によって、攻撃は受けたが、情報持ち出しは成功していないと判断した。
K部長は、情報持ち出しは成功していないと判断できたことは不幸中の幸いだったとして、調査は一旦完了とした。③調査で判明した情報はISACに提供した。
対策の検討
K部長は、様々なC&C通信の手法が今後も使われるであろうと想定し、多層防御の考えに基づいて、C&C通信全般及び各手法への対策案を検討するようHさんに指示した。HさんがC&C通信全般への対策案を図4に、C&C通信の各手法への対策案を表3に示す。
デジタル署名が付与されていない実行ファイルからの通信をEDRで遮断する。Z社の業務で利用しているソフトウェアの実行ファイル(以下、正規実行ファイルという)には、ソフトウェア開発会社がデジタル署名を付与するか、自社で付与することができる。④デジタル署名を検証すれば、正規実行ファイルか否かを判定できる。
| 項番 | C&C通信の手法 | 対策案 |
|---|---|---|
| 1 | マルウェアが⑤プロキシ認証情報を窃取して、プロキシ認証を突破し、C&C通信を行う。 | (省略) |
| 2 | マルウェアがパブリックDNSサービスを利用して、C&C通信⑥FWのフィルタリングルールを変更することで、C&C通信を遮断する。 | (省略) |
| 3 | 攻撃者は、あらかじめ攻撃用ドメインを取得し、bをC&Cサーバとして、インターネット上に用意しておく。マルウェアが、cに攻撃用ドメインについてのdを送信すると、cがC&Cサーバ宛dを送信する。こうして、マルウェアはC&C通信を行う。大量の情報を持ち出す場合、次の特徴が現れる。
|
(省略) |
対策案は社内で承認され、対策が導入された。