情報処理安全確保支援士試験過去問 2019年（令和元年）秋期午後Ⅰ 問3

標的型攻撃への対応

J社は、ビッグデータ解析を専門とする、従業員数150名の調査会社である。従業員は、情報収集のためのWebアクセス、並びに営業活動及び情報交換のための社外との電子メール送受信にインターネットを利用している。J社では、情報セキュリティポリシを整備して運用している。

J社では、20XX年3月に標的型攻撃を受け、PCがマルウェアに感染して業務サーバ上の秘密情報を外部に送信してしまった。情報システム部（以下、情シ部という）が感染状況を調査し、感染が確実なPCだけでなく、疑わしいPCも合わせて40台のPCを初期化した。調査を始めてから初期化を完了するまでに48時間掛かり、その間、業務は停止せざるを得なかった。

標的型攻撃対策

J社は、事態が一段落したところで、情報セキュリティコンサルティング会社のK社に、標的型攻撃への対策についてのアドバイスを求めた。K社の担当コンサルタントである情報処理安全確保支援士（登録セキスペ）のN氏は、標的型攻撃への対応事例を示した上で、感染予防だけでなく、感染拡大防止や情報漏えい防止の対策も取り入れるべきであり、具体的には、マルウェアが、外部のC&C（Command and Control）サーバと通信を開始しようとする段階や、ほかの機器に感染を拡大しようとする段階で検知し対処できれば、情報漏えいの被害を軽減できるとアドバイスした。

そこでJ社は、ITサービス会社のP社が提供する監視サービス（以下、Pサービスという）及びマルウェア対策ソフトベンダR社が提供するマルウェア対策製品（以下、Rシステムという）の導入、並びにインシデント対応手順など関係する規則類の改定を決めた。作業は、情シ部のE部長の指示によって、Gさんら3名が担当した。

Pサービス及びRシステムの導入を終えた20XX年9月時点の、J社情報システムの概要を図1に、J社情報システムの構成要素を表1に示す。また、改定後のインシデント対応手順を図2に示す。

表1 J社情報システムの構成要素（抜粋）
構成要素	概要
FW	ステートフルパケットインスペクション型である。フィルタリングルールをもち、送信元IPアドレス、宛先IPアドレス、ポートによって不要な通信を拒否する。日時、FWの動作、送信元IPアドレス、宛先IPアドレス、ポート、データサイズを、FWのログとして取得し、Pサービス及びログ蓄積サーバにsyslogで送信する。 J社とPサービスの間を、インターネットVPNで接続する。
業務サーバ及びPC	V社製のマルウェア対策ソフトを導入しており、次のように設定している。マルウェア定義ファイルを、起動時及び起動後1時間ごとにV社のWebサーバからダウンロードし、更新する。ファイルの読み書き時にリアルタイムスキャンを行う。毎週、月曜日の昼の12時にフルスキャンを開始する。マルウェア定義ファイルのダウンロード及び更新、並びにフルスキャンは、いつでも手動で実行できる。
Rシステム	管理サーバ及びエージェントプログラムによって構成される。エージェントプログラムは、PC及び業務サーバに導入している。全てのプロセスの生成から終了までの動作、実行したプログラムのハッシュ値並びに通信の宛先のIPアドレス及びポートを、ログ（以下、Rシステムで取得するログをRログという）として取得し、ログ蓄積サーバにsyslogで送信する。 J社が社内外からマルウェアのハッシュ値を入手し、管理サーバに登録すると、エージェントプログラムは、そのマルウェアの実行を禁止する。管理サーバには、ログ蓄積サーバに保存されたRログを検索する機能があり、情シ部員は、Rログをマルウェアのハッシュ値で検索することによって、そのマルウェアが実行された痕跡があるかどうか調査することができる。
ログ蓄積サーバ	syslogで送信された、FWのログ及びRログを蓄積して保存する。
Pサービス	Pサービスでは、受信したJ社のFWのログを分析する。ただし、FWのログは蓄積しない。過去に遡っての分析は行わない。ログの分析によってC&Cサーバへの通信を検知すると、情シ部員に電子メール及び電話で通知する。通知する内容は、C&Cサーバへの接続日時、送信元のIPアドレス、宛先のC&CサーバのIPアドレス、ポート及びデータサイズの5項目である。

セキュリティインシデントの検知と対応

PサービスとRシステムを導入して数週間が経過した20XX年10月8日、C&Cサーバへの通信を検知したという通知をPサービスから受け、Gさんは図2の手順に従って対応した。Gさんによるインシデント対応の記録を表2に示す。

表2 Gさんによるインシデント対応の記録（抜粋）
時刻	対応内容
13:27	Pサービスから、J社内のIPアドレスからC&Cサーバへの通信を検知したという通知を受けた。通知内容は次のとおりであった。
	C&Cサーバへの接続日時　20XX年10月8日 13:17:15
	送信元のIPアドレス　192.168.1.20
	宛先のC&CサーバIPアドレス　w1.x1.y1.z1 ¹⁾
	ポート　80/tcp
	データサイズ　200バイト
13:43	IPアドレス管理台帳で192.168.1.20を調べると、営業部の従業員Lさんの PC（以下、L-PCという）であった。
13:49	Lさんに電話を掛け、L-PCの電源を入れたまま、L-PCからLANケーブルを抜くように指示した。
14:03	宛先がw1.x1.y1.z1への通信を拒否するフィルタリングルールをFWに登録した。
14:28	FWのログを確認したところ、Pサービスからの通信のとおり、C&Cサーバに送信しているデータサイズは200バイトであった。
14:42	13:17:15前後のRログを確認して、C&Cサーバに接続したプログラムをマルウェアMとして特定した。同時にL-PC上で、表3のコマンドがマルウェアMによって、実行されていたことが判明した。
14:58	マルウェアMのハッシュ値を管理サーバに登録した。

注¹⁾ w1.x1.y1.z1はグローバルIPアドレスである。

表3 L-PC上で実行されていたコマンド（抜粋）
コマンド	想定される攻撃フェーズ	想定される攻撃者の目的
ipconfig /all	初期調査	a
systeminfo		b
tasklist		c
dir /a	探索活動	秘密情報を含むファイルやフォルダを発見するために一覧を取得する。
net view		d

Gさんは、ここまでの対応を報告書にまとめて、E部長に提出した。

インシデント対応手順の改善

報告書を読んだE部長は、他社での標的型攻撃への対応事例と比較すると、対応が不十分であると考えた。次は、E部長とGさんの会話である。

E部長：ほかにもマルウェアMに感染したPC又はサーバがある場合を想定する必要があるのではないか。

Gさん： 13:27以降、Pサービスから新たな通知は来ていません。感染したのは、L-PCだけと考えてよいのではないでしょうか。

E部長： 13:17:15より前の、ログ蓄積サーバ内のFWのログにeが含まれているかどうかを確認する必要がある。

Gさん：分かりました。早速確認します。

E部長：ただし、①PC又はサーバの状態によっては、FWのログを使った確認ではマルウェアMに感染していることを検知できないことがあるので、②Rログを使った確認もする必要がある。

Gさん：分かりました。

Gさんは、ログを確認し、感染したPC又はサーバは、ほかに発見されなかったという結果をE部長に報告した。E部長は、マルウェアに感染したPC又はサーバを特定するためのログの調査手順を、インシデント対応手順に追加するようGさんに指示した。これによって、J社ではインシデント対応手順を更に改善することができた。

出典：令和元年度秋期情報処理安全確保支援士試験午後Ⅰ 問3