情報処理安全確保支援士試験 過去問 2021年(令和3年) 秋期 午後Ⅱ 問2
マルウェア感染への対処
A社は、従業員8,000名の化学素材会社であり、首都圏に本社、地方には大つの支社がある。素材の研究開発に関して古くから産学官連携をリードしてきた。A社は、VPNサーバ及び基幹システムを、ハウジング契約を結んでいるデータセンタ(以下、DCという)内に設置している。A社の電子メール(以下、メールという)は以前、基幹システム内に設置していたメールサーバを利用していたが、現在はクラウド上のWebメールサービス(以下、Bサービスという)を利用している。Bサービスへの移行に伴う通信量の増加によって、DCにある統合脅威管理(以下、UTMという)の処理能力は、ひっ迫している。従業員は、会社から貸与されたPC(以下、業務PCという)を業務に必要なWebアクセスやメール送受信などに利用する。
本社では、働き方の多様性を確保するためにテレワークを推進してきた。テレワークでは、従業員が業務PCを自宅に持ち帰り、自宅のネットワークからVPNサーバを介して、基幹システムや利用者LANにあるリソースにアクセスできる。テレワークでは、BサービスなどのインターネットへのAl続においても、同様にVPNサーバを介する。
| 構成要素 | 説明 |
|---|---|
| 基幹システム | 共有ファイルサーバ、人事システム、経理システムなどから構成されている。 |
| VPNサーバ | 従業員がテレワークに利用する。業務PCのVPNクライアントソフトウェアを起動すると、VPNサーバとの間にIPsecによる通信路が確立する。VPNサーバへの接続の際に2要素認証を行う。 |
| UTM |
インターネットとの接続境界に設置され、グローバルIPアドレスをもつ。次の機能を備えており、そのうちファイアウォール(以下、FWという)機能とIDS機能を有効にしている。 FW機能:ステートフルパケットインスペクション型であり、送信元IPアドレス、送信元ポート、宛先IPアドレス、宛先ポートを指定して通信をフィルタリングできる。通信のログを取得する。 IDS機能:全てのインバウンド通信をチェックし、不審な通信を検知した場合は、システム管理者に通知する。 DNSシンクホール機能:DNSクエリをチェックし、危険リストに登録されているFQDNの場合は、正規の名前解決を行わずにA社があらかじめ用意したIPアドレスを応答する。危険リストは、日次で自動更新される。 |
| 利用者LAN | 従業員の業務PCネットワークプリンタなどのOA機器が設置されている。部ごとにネットワークを分けているが、本社と支社間も含めてセグメント間でアクセス制限はしていない。 |
| Bサービス | 従業員ごとに払い出されたメールアドレス及びパスワードを入力すると利用できる。アクセス制限機能によって、アクセス元IPアドレスがUTMのグローバルIPアドレスの場合だけアクセスが許可される。 |
社外との情報共有
A社の研究部は、素材研究とその実用化に関する情報を共有する"化学研究開発コンソーシアム"という団体(以下、化学コンという)を運営している。化学コンには、研究機関や大学、企業など40組織が会員として加盟している。化学コンでは、月に1回、対面形式の連絡会議が開催され、会員の上位役職者が参加している。連絡会議では、研究開発における機密性の高い議事が扱われる。開催案内などの機密性のあまり高くない情報の共有はメールで行われるが、重要な情報は情報連携システムと呼ばれるSSHを用いたシステムで共有されている。
会員は、情報連携システム用の連携端末を設置する必要がある。化学コンは、会員に図2に示す連携端末設置ガイドライン(以下、ガイドラインという)を提示し、遵守を求めている。
- 連携端末を設置し、別途定める要件を満たす機器、ソフトウェアを導入し、別途定める運用を行うこと
- 連携端末からインターネットにアクセスするときのグローバルIPアドレスを化学コンに伝えること
- 共有した秘密情報は、別途定める秘密情報管理規程に従って管理すること
- 連携端末に関して、セキュリティインシデント(以下、インシデントという)が発生した場合は、化学コンと協力して解決すること
情報連携システムの構成を図3に、情報連携の手順と会員間で共有するファイルを格納する連携サーバの運用を図4に示す。
【情報連携の手順】
- A社の担当者は、共有したいファイルを連携サーバの共有フォルダに置く。連携サーバの共有フォルダは研究部セグメントの業務PCから認証なしでアクセス可能になっている。
- 連携サーバ及び連携端末には、SSHアプリケーションプログラムが導入されている。3時間に一度、自動的に連携端末から連携サーバにSSH通信を行い、認証に成功すると連携サーバの共有フォルダにあるファイルを、連携端末の所定フォルダにコピーする。
- 会員の担当者は、随時、所定フォルダにあるファイルを連携端末上で閲覧する。
【連携サーバの運用】
- 連携サーバはSSHによる連携端末へのファイルのコピーが行われるとログファイルにログを出力する。ログファイルは日付を示す8桁の数字のファイル名で毎日生成され、60日間保存される。61日以前に生成されたログファイルは、毎日0時に起動する連携サーバの日次バッチ処理で自動削除される。
- ログファイルには出力されるログ項目は、SSH接続ごとに、"接続日時、会員名、コピーファイル数、コピー成功失敗ステータス"である。
連携サーバは、研究部が管理する連携FWを経由してインターネットに接続されている。連携FWでは、会員から伝えられたグローバルIPアドレス及び研究部セグメントから連携サーバへのアクセスだけを許可している。
テレワークの検討
2月2日、首都圏を中心とする感染症の急激な流行に伴い、A社は本社に勤務する従業員に対して、2月16日から原則、テレワークとする方針を決定した。また、より多くの従業員がテレワークに移行できるよう、テレワークWGを立ち上げた。テレワークWGには、情報システム部などの関係する部の担当者が参加し、インフラ増強やルール整備を検討する。A社では、公的機関が発行したテレワークセキュリティガイドラインを参考に、図5に示すテレワークセキュリティ規程を作成し、本社に適用した。
役割を次のとおり定める。複数の役割を兼務する場合もある。
- 経営者:組織のあるべき姿を検討し、テレワークセキュリティ全般を考え、必要なリソースを確保する。
- システム管理者:情報システムへの不正アクセス、マルウェア感染などのインシデント発生時の対処のルールを定める。
- テレワーク勤務者:定められたルールを遵守し、データを安全に扱う。
【詳細】
- aは、テレワークの推進に必要な人材・資源を確保するために、必要な予算を割り当てる。
- bは、情報セキュリティポリシに従い、セキュリティ維持に必要な技術的対策を講じるとともに、定期的に実施状況を点検する。
- cは、社内システムに、強度の低いパスワードが用いられないように制限を掛ける。
- dは、パスワードの使い回しを避け、12桁以上の長さで他人に推測されにくいものを設定する。
- システム管理者は、暗号化された通信路をテレワーク勤務者に提供する。その際、電子政府における調達の際にも参照されるe暗号リストを参照し、暗号化には危殆化していない暗号アルゴリズムを採用するものとする。
ネットワーク構成の見直しの検討
テレワークWGでは、支社でもテレワークの準備が必要であるという意見が出た。しかし、支社でのテレワークに本社と同様の方式を採用すると、UTMの処理能力を超過することが予想された。そこで、テレワークWGは、新たなネットワーク(以下、新NWという)の導入を検討することにした。図6に新NWの内容、図7に新NWの構成を示す。
- 各支社に、新たにインターネット接続回線を敷設し、拠点FW及び拠点DMZを新設する。拠点DMZ内に拠点VPNサーバを新設する。
- テレワーク時、支社のテレワーク勤務者には、所属する支社の拠点VPNサーバに接続させ、基幹システムや利用者LANにあるリソースにアクセスさせる。拠点VPNサーバ接続時には、本社と同様に2要素認証を行う。
- テレワーク時のインターネットアクセスは、一度、拠点VPNサーバにアクセスさせ、DCを経由させる。ただし、①Bサービスへのアクセスだけ、拠点VPNサーバから、DCを経由させずに支社に敷設したインターネット接続回線を経由させる。
テレワークWGは、新NWの導入に先立ち、ある支社で新NWをテストした。②その支社のテレワーク勤務者が、インターネットへはアクセスできたが、Bサービスに接続できないというトラブルが発生した。Bサービスの設定を変更することによってトラブルは解消でき、無事、テストが完了した。A社は新NWの導入を正式に決定し、6月15日、各支社でもテレワークを開始した。
インシデントの発生
9月11日、情報システム部のシステム管理者であるC さんは、差出人が総務部のDさんと表記されたメールを受信した。メールの文面に違和感を覚えたCさんが、念のためDさんに電話で確認したところ、"そのようなメールは送信していない"という回答だった。Cさんは、すぐさまA社のCSIRTに報告した。報告を受けたCSIRT所属のEさんは、調査を行い、DさんのE言や B サービスの利用履歴などからDさんのBサービスのアカウントが第三者に不正利用されている可能性が高いと判断した。Eさんは、情報システム部のCさんに、Dさんのアカウントの無効化措置を依頼した。その後、契約中のセキュリティベンダX社に所属する情報処理安全確保支援士(登録セキスペ)のP氏の支援を受け、9月16日に図8に示す初期調査結果をまとめた。
【タイムライン】
- 4月1日:情報システム部が新NWのテストでのトラブル解消のために、Bサービスの設定を変更した。
- 7月9日:攻撃者が、何らかの方法で入手したDさんのアカウントを使って、インターネットからBサービスに不正ログインした。
- 7月14日:攻撃者は、Dさんのアカウントを使って研究部のFさん宛にマルウェアを添付したメールを送信した。Fさんがそのメールの添付ファイルを開いた結果、Fさんの業務PCがマルウェアに感染した。同日中に、攻撃者の遠隔操作によって同業務PCがマルウェアβにも感染した。
- 7月28日から9月11日:攻撃者はDさんのアカウントを使って、Cさんなど数名の従業員宛にマルウェアを添付したメールを断続的に送信した。
- 9月11日:Cさんから報告を受け調査を開始した。
【攻撃者の活動の特徴】
- 攻撃者は、メールの送信間隔を空けたり、マルウェアの拡散速度を遅くしたりしていた。感染した業務PCからA社内の情報を不正に収集していた。
- 攻撃者は、メールの送信をDさんに知られないよう、マルウェアを添付したメールを送信済みボックスから全て削除していた。
- 一部の業務PCでは、全てのイベントログが消去された痕跡があった。全てのイベントログが消去された後、イベントログにイベントログの消去を示すログが記録されていた。
- 攻撃者がDさんのアカウントを使って送信したメールは、タイムラインに示したA社内宛のメールだけであり、社外宛のメールはなかった。
同日、X社からマルウェアの解析結果が報告された。マルウェアα及びマルウェアβのどちらにもA社を標的にしたと思われる識別文字列、A社固有のファイルパス、並びにC&Cサーバの IP アドレス及び FQDN のリストが埋め込まれていた。また、どちらもA社が導入しているマルウェア対策ソフトでは検出されなかった。報告されたマルウェアの特徴を表2に示す。
| 名称 | 特徴 |
|---|---|
| マルウェアα | PC又はサーバが感染すると、C&Cサーバと通信を確立し、攻撃者が遠隔操作できる状態になる。このとき、イベントログにマルウェア α の実行を示すログ(以下、α ログという)が記録される。 |
| マルウェアβ |
次の(1)~(3)の機能をもつマルウェアである。PC又はサーバが感染すると、いずれかの機能を、あらかじめ定められた確率でランダムに実行する。この実行は、1時間間隔を置いて繰り返され、遠隔操作機能の実行に成功すると、繰り返しの実行を停止する。
|
A社は重大なインシデントが発生したと判断し、社内規程に従い緊急対策本部(以下、対策本部という)を設置した。
インシデントへの対策の検討
このインシデントでは、DさんがBサービスに脆弱なパスワードを設定していたことに加えて、新NWの導入に際しての B サービスの設定変更も攻撃が成功してしまった要因であることが分かった。
対策本部長(以下、本部長という)は、初期調査結果及びマルウェアの特徴をメンバと共有し、優先すべき対策を表3のように整理した。
| 対策名 | 対策項目 | 暫定対策 | 恒久対策 |
|---|---|---|---|
| 対策1 | C&Cサーバへの通信の遮断 | (省略) | (省略) |
| 対策2 | マルウェア α 及びマルウェア β の駆除 | (省略) | (省略) |
次は、対策本部会議での、本部長、対策本部メンバのGさん及びP氏の質疑である。
本部長: 対策1については、どのように行うのか。
Gさん: マルウェアαとマルウェアβにはC&CサーバのIPアドレスとFQDNのリストが埋め込まれていました。そのIPアドレス、及びそのFQDNのDNSの正引き結果のIPアドレスの二つを併せたIPアドレスのリスト(以下、IPリストという)を手作業で作成しておき、IPリストに登録されたIPアドレスへの通信をUTMで拒否します。
P氏: その対策だけでは、③攻撃者が行う設定変更によって、すぐにマルウェアαやマルウェアβの通信を遮断できなくなることが考えられます。④そこで、UTMでの通信拒否に加えて、追加の暫定対策として、UTMのDNSシンクホール機能の有効化を推奨します。
本部長: では、両方の対策を実施しよう。次に、対策2については、どのように行うのか。
Gさん: まず感染を確認するために、イベントログにαログ又はβログが存在するかどうかをチェックする確認ツールを作成してA社内に配布し、従業員に実行してもらいます。
P氏: イベントログにfが存在するかどうかもチェックする必要があると思います。さらに、確認ツールは暫定対策として有効ですが、全ての感染を確認できるわけではありません。⑤確認ツールを実行し、問題がないと判定されたPCやサーバであっても、その後、別のPCやサーバに感染を拡大させることが考えられます。
本部長は、確認ツールとは別に、より高い精度でマルウェアα及びマルウェアβを検出し、駆除できるツール(以下、駆除ツールという)の開発をX社に委託することにした。P氏は、開発する駆除ツールは、デジタルフォレンジックスの経験を有する技術者だけが扱うことができるツールになることを説明した。
P氏は、対策本部会議の恒久対策に関する質疑の際に、将来的には連携サーバをDCのDMZに移設し、連携FWを廃止する検討をした方が良いとの意見を述べた。その理由として、⑥インターネットから連携サーバが攻撃を受けたときに、より迅速な対応が可能であることを挙げた。
その後の対策本部会議の質疑の中で、連携サーバ自体が感染していなくても連携サーバ経由で、会員にもマルウェアβの感染を拡大させている可能性が指摘された。本部長は、Eさんに、早急に連携サーバ経由の感染状況を確認し、感染拡大を防止するよう指示した。
連携サーバ経由の感染状況の確認と感染拡大防止
Eさんは、まず、連携サーバをネットワークから切り離し、ディスクイメージを保全した。また、化学コンの運営責任者を通じて、化学コンの全会員に連携端末を一時的にネットワークから切り離してもらうように連絡し、全ての会員で対応が完了したことを即日確認した。9月17日、Eさんは連携サーバの担当者にヒアリングを実施した。ヒアリングの際に、連携サーバに存在するログファイルを担当者に確認してもらったところ、最も古いものは7月19日に生成されたものであることが分かった。Eさんは、マルウェアβの感染を拡大させている可能性があることから、会員でも何らかの対処が必要であり、会員によってはPCやサーバで、駆除ツールを実行しなければいけないと考えた。また、駆除ツールが扱える技術者を多数確保することは難しいので、全ての会員に対して一斉に対処をすることはできないと判断し、次の対処方針を定めた。
- 感染調査手順書を作成し、各会員の担当者に調査を依頼する。その調査結果から、会員をグループAとグループBに分ける。
グループA:感染の疑いが強く、より早期に対処が必要な会員
グループB:それ以外の会員 - グループAの会員には、P氏と駆除ツールが扱える技術者が連携端末設置場所に赴き、駆除ツールを用いて連携端末上のマルウェアβを駆除する。さらに、マルウェア α 感染に伴う会員側の被害を確認し、その対処をA社が支援する。
- グループAの全会員での駆除が完了した後に、グループBの会員に対して同様の手順で駆除を含めた対応を行う。
感染調査手順書のレビュー
Eさんは感染調査手順書案を作成し、P氏にレビューを依頼した。表4は感染調査手順書案に記載した感染調査項目、図9はP氏からのレビュー回答である。
| 調査名 | 調査内容 | 調査結果 | 判定 |
|---|---|---|---|
| 調査1 | 連携端末の対象期間1)中のイベントログに、αログ、βログ又はfが存在するかどうか。 | 存在する | グループA |
| 存在しない | グループB |
感染調査項目に関して次の見直しを行う必要がある。
指摘1:対象期間の開始日は、本来は、保存されている最も古いイベントログの日付にすべきだが、せめて連携サーバに細工されたファイルが置かれていた可能性のある最も早い日付であるgにする必要がある。
指摘2:マルウェアβの特徴を踏まえると、会員内での感染の広がりも考慮する必要がある。本来は、会員の全てのPCを確認してもらうべきだが、せめて会員FWのログの確認は追加で依頼する必要がある。
EさんはP氏の指摘2に対する改善案として、表5に示す感染調査項目を追加し、調査2の調査結果が"記録あり"である場合もグループAと判定することにした。
| 調査名 | 調査内容 | 調査結果 | 判定 |
|---|---|---|---|
| 調査2 | 対象期間中の会員FWのログに、次に該当する送信元から宛先への通信記録が存在するかどうか。 送信元:任意の IP アドレス 宛先:h |
記録あり | グループA |
| 記録なし1) | グループB |
Eさんは、再びP氏のレビューを受けた。次は、再レビュー時のP氏とEさんの会話である。
P氏: 今回の感染調査の目的は、感染の疑いが強い会員を見つけることなので、調査2の内容は良いと思います。提案なのですが、仮に今回の感染調査の結果、大多数の会員がグループAと判定された場合、グループ分けの意義が薄れてしまいます。グループAと判定された会員の中から、更に対処を優先する会員を絞ってはどうでしょうか。
Eさん: 対処を優先する会員をどのように絞ればよいのでしょうか。
P氏: ⑦連携端末からほかのPCやサーバへの感染拡大が明らかな会員に絞るのであれば、調査2に使う通信記録から絞ることができると思います。グループAと判定された会員企業であっても、この通信記録がなかった会員は、⑧既に行っている対応から考えて、感染を拡大させるリスクは相対的に低いと考えることができます。
EさんはP氏の指摘や助言に従い感染調査手順書を修正し、会員に送付した。七つの会員がグループAと判定されたもののうち、どの会員にも深刻な被害は確認されなかった。A社はその後もインシデント対応を進め、社内の詳しい調査を経て、攻撃者の活動は初期調査結果とおりだったことも確認した。対策1と対策2の暫定対策と恒久対策を完了したA社は、対策本部を解散し、再発防止に向けた新たな取組の検討に着手した。