情報処理安全確保支援士試験 2012年 春期 午後1 問04
情報セキュリティ技術者の育成に関する次の記述を読んで、設問1~4に答えよ。
K社は、従業員数9,000名の機械製造会社であり、本社の他、全国に工場が8か所、営業所が10か所ある。図1に示すとおり、K社には本社、工場及び営業所を接続した社内ネットワークが構築されており、全社でサーバが200台、PCが5,000台接続されている。社内ネットワーク、サーバ及びPCの運用管理は、主として本社に勤務する情報システム部員が担当しているが、各工場にも情報システム部員を配置して、現地でなければ実施できない運用管理を行っている。
全てのPCにはウイルス対策ソフトが導入されており、図1中のウイルス対策管理サーバは、このウイルス対策ソフトの管理とウイルス定義ファイルの配を行っている。ウイルス対策ソフトはウイルス定義ファイルに基づきパターンマッチングによってウイルスを検出するものであり、ウイルス定義ファイルは最低でも1日に1回は更新されている。
(K社の情報セキュリティ対策の現状〕
K社では過去に多くの情報セキュリティインシデントが発生しており、そのうちの幾つかはK社の製品に関する機密情報の窃取を狙ったものと推測されている。K社ではこの事態を重くみて、2年前、総務部内に総員10名の情報漏えい対策チーム(以下、Pチームという)を常設組織として設置し、文書、口頭、ネットワークなど、全ての経路での情報漏えいの予防及び情報漏えい発生時の緊急対応を実施してきた。このPチームは、幾つかの班に分かれており、そのうちの技術班のリーダがT主任である。
〔標的型攻撃への対策の検討〕
T主任は、K社を取り巻く最近の状況から、悪意あるプログラムを電子メール(以下、メールという)の添付ファイルとして送付してくる攻撃に注意が必要であると考えていた。特に、①メール本文やタイトルにK社に関連した内容が含まれるなど高度な偽装が施されており、かつ、②新たに作成された悪意あるプログラムを含んだファイルが添付されている、いわゆる標的型攻撃メールに対して危機感を持っており、その対策について検討を始めていた。
検討を進める中でT主任は、セキュリティコンサルティング会社から、標的型攻撃に対応する演習のための教材一式を入手することができた。その教材には、実際に標的型攻撃に使用されたメール及び攻撃用プログラムを基にした、メール本文例及び疑似攻撃プログラムであるプログラムSが含まれていた。教材は、演習用環境で不正な通信が発見されてから、その通信が発生した原因を突き止めるまでの演習を対象範囲にしている。T主任は、この教材を利用してPチーム内で標的型攻撃に対応する演習を行い、その結果に基づいてインシデント対応方法の改善を目指すことにした。
〔標的型攻撃に対応する演習の準備〕
T主任は演習の対象者として、Pチーム内で1年間ほどインシデント対応を担当しているU君を選抜した。この演習に当たって、T主任は図2に示す演習用環境を構築した。
なお、この演習用環境は他の全てのネットワークから切り離されている。
また、インシデント対応において必要になる可能性が高いと考えて、図2の環境とは別にパケットキャプチャ装置を用意して解析用の隔離環境を整えた。
T主任は、演習用環境内のPC1が標的型攻撃に遭遇した状況を作るために、図3に示す準備を行った。演習に使用したプログラムSの動作は図4のとおりであった。ただし、図3及び図4の内容はU君には知らせなかった。
また、インシデント対応において必要になる可能性が高いと考えて、図2の環境とは別にパケットキャプチャ装置を用意して解析用の隔離環境を整えた。
T主任は、演習用環境内のPC1が標的型攻撃に遭遇した状況を作るために、図3に示す準備を行った。演習に使用したプログラムSの動作は図4のとおりであった。ただし、図3及び図4の内容はU君には知らせなかった。
〔標的型攻撃に対応する演習〕
演習用環境の準備を整えた後、T主任はU君に演習の開始を告げた。次は、その時の会話である。
T主任:それでは演習を開始します。この後IPSが不正な通信を検出するので、その検出をきっかけにインシデント対応を実行してみてください。
U君 :はい。本番だと思ってやってみます。
T主任:早速IPSで不正な通信が検出されたようですよ。
対応を開始したU君は、まずIPSによる不正な通信の検出結果を確認した後、ウイルス対策管理サーバ、FW及びIPSのログ分析を開始した。
FW及びIPSのログ分析の結果、U君はPC1からメールサーバに対して不審なアクセスが行われていると思われるログを発見した。次は、その時の会話である。
T主任:ここまでの演習で、標的型攻撃への理解は深まりましたか。
U君 :はい。ウイルスとしては検知されないんですね。こうなると、PC1に原因があるとは即座に絞り込むことができないので、IPSでの誤検知や送信元IPアドレスのIPスプーフィングの可能性も調べないといけませんね。
T主任:そうですね。ただ、PC1から不審なアクセスが行われている可能性があると分かった時点で、PC1を早めに切り離した方がよかったのではないでしょうか。
その後、U君はPC1を演習用環境から切り離す措置をとった。切り離したPC1は、解析用の隔離環境に接続し、PC1の解析を行った。2時間ほどしたところでU君が行き詰まっているのに気が付いたT主任は、U君に声を掛けた。
T主任:どうやら苦戦しているようですね。
U君 :解析用の隔離環境で行ったパケットキャプチャの結果全体と、パケットの送信元IPアドレスを見て、PC1から不正なTCP通信が行われていることは確認できたのですが、PC1でどのような悪意あるプログラムが動いているかが分かりません。起動中の常駐プログラム名の一覧を確認したのですが、正常なPCとの差異はありませんでした。
T主任:常駐プログラムに目を付けたのはいいけれど、プログラム名を見ただけでは十分とは言えませんね。プログラム名ぐらいは簡単に偽装できますよ。
U君 :そうなんですか。では、悪意あるプログラムを特定するには、何を糸口にすればよいのでしょうか。
T主任:パケットキャプチャの結果を分析すれば、不正な通信の詳細情報が分かりま
す。その情報の中には、当然TCPセッション情報が含まれていますよね。それが糸口になりませんか。
U君 :なるほど。今の話で③悪意あるプログラムを特定する方法を思い付いたので解析作業に戻ります。
T主任:ところで、本番のインシデントでは証拠保全の必要があります。PC1は重要な証拠であり保全の対象となるので、本来であればPC1の複製を使用して解析を行うことになります。今回は演習なので証拠保全の措置は省略しましたが、インシデント対応手順を考える上で証拠保全は必要な措置となるので覚えておいてください。
U君 :はい、分かりました。
この後U君は、下線③の方法を使って悪意あるプログラムを特定し、さらにPC1の利用者のメールアドレス宛てに到着したメールの中から不審な添付ファイルを見つけ出した。利用者がこの添付ファイルを実行したことによって悪意あるプログラムが常駐してしまい、他のコンピュータへの不正な通信を行っていたことを突き止めた。
〔演習の振返り〕
U君 :今回は何とか不審な添付ファイルを見つけることができましたが、メール本文は総務部からの社内連絡を装っている上、送信元のメールアドレスも実在するものであり、添付ファイルのアイコン偽装以外は不審な点は一切見当たりませんでした。実際の状況を想定してみると、標的型攻撃は、発見が難しいものなんですね。
T主任:そうなんです。この演習は他社で過去に起きた事例を参考にしたものです。だから、当社にもこの程度の攻撃があると想定しなければいけません。このような標的型攻撃による被害を未然に防ぐためには、全従業員への指導も併せて行っていく必要があるのです。
演習の後、U君は従業員が社内ネットワーク上のPCで今回のような標的型攻撃メールを受信して添付ファイルを実行してしまった場合、どのような被害が発生するか、その被害への対応をどうすべきかを検討して、インシデント対応手順にまとめた。また、インシデント対応のため、PCをLANから切り離して解析作業を行っている間に、そのPCの利用者から内蔵ハードディスク内のファイルが欲しいと言われる可能性が高いと考えた。そこで、証拠保全が可能な方法によってPCを複製した後に、④複製したPCからファイルを取り出す手順をインシデント対応手順に記載した。さらに、インシデントを未然に防ぐための標的型攻撃対策を作成した。
その後、T主任はインシデント対応手順及び標的型攻撃対策を承認し、Pチーム内の正式ドキュメントとして発行した。標的型攻撃対策に基づき、Pチームは全従業員に対して標的型攻撃に関する指導を行った。K社では、このような対策の効果もあり、標的型攻撃による被害を未然に防ぐことに成功している。
情報セキュリティ技術者の育成に関する次の記述を読んで、設問1~4に答えよ。
設問1
攻撃者が本文中の下線①及び下線②のような細工をする目的を、下線①について40字以内,下線②について30字以内で述べよ。
模範解答
下線①:メール受信者に正常なメールと誤認識させて添付ファイルを開かせるため
下線②:ウイルス対策ソフトで検出されることを防ぐため
解説
解答の論理構成
- 【問題文】には「①メール本文やタイトルにK社に関連した内容が含まれる」とあり、これは受信者に“日常業務の連絡”と思い込ませる細工です。業務メールだと誤認すれば心理的ハードルが下がり、添付ファイルを開く可能性が高まります。
- さらに「②新たに作成された悪意あるプログラムを含んだファイルが添付されている」とあるため、既存のシグネチャに依存する「ウイルス対策ソフトはウイルス定義ファイルに基づきパターンマッチングによってウイルスを検出する」という仕組みを回避できます。新種であれば定義ファイルに登録がなく検知されにくいので、攻撃コードを実行させやすくなります。
- 以上より、①は“開封・実行を誘導するための偽装”、②は“マルウェア検知を逃れるための新規作成”という目的になり、模範解答に整合します。
誤りやすいポイント
- ①を「社内向けに見せるため」とだけ書くと「開封を促す」という核心が欠落し減点されやすいです。
- ②を「検出されにくいようにする」と曖昧に書くと、なぜ検出されにくいのか(新規作成である点)が説明不足になります。
- ①②を混同し「添付ファイルを開かせる」「検知を回避する」を逆に記述する取り違えミスも頻発します。
FAQ
Q: 一般的なフィッシングメールとの違いは何ですか?
A: 本設問で扱うメールは「標的型攻撃メール」であり、「K社に関連した内容」のように受信者や組織を精緻に偽装します。多数へばらまく通常のフィッシングより個別性・信頼度が高い点が特徴です。
A: 本設問で扱うメールは「標的型攻撃メール」であり、「K社に関連した内容」のように受信者や組織を精緻に偽装します。多数へばらまく通常のフィッシングより個別性・信頼度が高い点が特徴です。
Q: 新種マルウェアでも振る舞い検知なら防げるのでは?
A: 行動分析やサンドボックスなど高度な検知手段があれば防げる場合もありますが、K社の前提は「ウイルス定義ファイルに基づきパターンマッチング」であり、振る舞い検知は導入されていません。
A: 行動分析やサンドボックスなど高度な検知手段があれば防げる場合もありますが、K社の前提は「ウイルス定義ファイルに基づきパターンマッチング」であり、振る舞い検知は導入されていません。
Q: 標的型攻撃メールを完全に防ぐ方法はありますか?
A: 技術対策(サンドボックス、マクロ制限等)とあわせて、従業員教育・疑わしいメールの報告フロー整備など多層防御が不可欠です。完全阻止は難しいため、早期検知と被害最小化を前提に備えます。
A: 技術対策(サンドボックス、マクロ制限等)とあわせて、従業員教育・疑わしいメールの報告フロー整備など多層防御が不可欠です。完全阻止は難しいため、早期検知と被害最小化を前提に備えます。
関連キーワード: 標的型攻撃, ソーシャルエンジニアリング, シグネチャ検知, マルウェア, 多層防御
設問2
本文中の下線③の悪意あるプログラムを特定する方法とは何か。その方法を50字以内で述べよ。
模範解答
不正な通信の送信元 TCP ポート番号を基に、そのポートを使用しているプログラムを特定する。
解説
解答の論理構成
- 不正通信の有無は既にパケットキャプチャで確認済み
引用: 「パケットキャプチャの結果全体と、パケットの送信元IPアドレスを見て、PC1から不正なTCP通信が行われていることは確認できた」 - しかしプログラム名だけでは判別不能
引用: 「起動中の常駐プログラム名の一覧を確認したのですが、正常なPCとの差異はありませんでした。」 - T主任の助言
引用: 「パケットキャプチャの結果を分析すれば、不正な通信の詳細情報が分かります。その情報の中には、当然TCPセッション情報が含まれていますよね。」 - TCPセッション情報には送信元・宛先ポート番号が含まれる。
・パケットから “送信元TCPポート番号” を特定
・OSのコマンド(例:netstat -ano)で当該ポートを使用中のプロセスIDを取得
・タスク一覧でプロセスIDに対応する実行ファイルを突き止める - 以上より、下線③で問われる方法は「不正通信で使われているTCPポート番号を手掛かりに、そのポートを開いているプログラムを割り出す」と導ける。
誤りやすいポイント
- パケットキャプチャの“宛先”ではなく“送信元”ポートを使う理由を混同しやすい
- ハッシュ値照合やファイルタイムスタンプ調査など、直接ファイルを探索する手順を答えてしまう
- “プロセスID”や“netstat”といったツール名だけを列挙し、ポート番号とのひも付け手順を省略してしまう
FAQ
Q: UDP通信の場合も同じ方法が使えますか?
A: 基本的な考え方は同じですが、接続状態を保持しないためポートがすぐ閉じることがあり、連続監視が必要になります。
A: 基本的な考え方は同じですが、接続状態を保持しないためポートがすぐ閉じることがあり、連続監視が必要になります。
Q: Windows 以外の OS でも応用できますか?
A:
A:
lsof -i や ss など同様にポート‐プロセス対応を確認できるコマンドが用意されており、同じアプローチで特定可能です。Q: パケットキャプチャ以外でポート番号を得る方法はありますか?
A: IDS/IPS のログや FW のセッションログにも送信元ポート情報が残る場合があり、そこからひも付けてもかまいません。
A: IDS/IPS のログや FW のセッションログにも送信元ポート情報が残る場合があり、そこからひも付けてもかまいません。
関連キーワード: パケットキャプチャ, TCPセッション, ポートスキャン, プロセス識別, 侵入分析
設問3
本文中の下線④について,ウイルス感染を広めることのないように,利用者が必要とするファイルをPCから取り出すにはどのような方法をとればよいか。その方法を50字以内で具体的に述べよ。ただし、取り出すべきファイルはウイルスに感染していないものとする。
模範解答
正常な OS で起動した他の PC に、複製した PC のハードディスクを接続してファイルを取り出す。
解説
解答の論理構成
- 本文でU君は「④複製したPCからファイルを取り出す手順をインシデント対応手順に記載」しました。
ここで鍵となるキーワードは「複製したPC」です。 - さらにT主任は「本番のインシデントでは証拠保全の必要があります。PC1は重要な証拠であり保全の対象となるので、本来であればPC1の複製を使用して解析を行う」と述べています。
⇒ 原本PCから直接操作せず、解析・取り出しは“複製”側で行う前提です。 - 要件は「ウイルス感染を広めることのないように」。ネットワークや感染済みOSを介せば再感染リスクがあります。したがって
- 信頼できるOSで起動
- ネットワークを切離しスタンドアロン
- ハードディスクを外付け接続してコピー
が最適解となります。
- 以上より「正常なOSで起動した別PCに、複製PCのディスクを接続しファイルを抽出する」方法が導かれます。原本PCにも他端末にもウイルスを拡散させず、証拠保全にも適合するからです。
誤りやすいポイント
- 複製ディスクを同一PCに差し替えて起動すると、既感染OSが動き出す危険を忘れる。
- ネットワーク共有でコピーしようとしてしまい、“広めない”条件を満たせなくなる。
- ウイルス未感染ファイルだからとウイルススキャンを省略してしまう。演習前提でも実務では二重チェックが原則。
FAQ
Q: USBメモリでコピーしても良いですか?
A: コピー自体は可能ですが、USB経由でも感染が広がるケースがあるため、まずクリーンOS+スタンドアロンでハードディスクを直結する方が安全です。
A: コピー自体は可能ですが、USB経由でも感染が広がるケースがあるため、まずクリーンOS+スタンドアロンでハードディスクを直結する方が安全です。
Q: 「正常なOS」とは具体的に何を指しますか?
A: 信頼できるメディアからブートしたクリーンなOS(レスキューDVDや隔離環境用Linux等)で、感染の可能性がない状態を指します。
A: 信頼できるメディアからブートしたクリーンなOS(レスキューDVDや隔離環境用Linux等)で、感染の可能性がない状態を指します。
Q: 取り出したファイルを社内で再配布するときの注意点は?
A: 取り出し後にウイルス対策ソフトで再スキャンし、改ざんチェックを行ったうえでネットワーク共有に載せると安全です。
A: 取り出し後にウイルス対策ソフトで再スキャンし、改ざんチェックを行ったうえでネットワーク共有に載せると安全です。
関連キーワード: 証拠保全, スタンドアロン解析, ハードディスク直結, クリーンブート, ウイルス拡散防止
設問4
本文中の下線①及び下線②の特徴を持った標的型攻撃メールを受信した場合の被害を回避するためには,従業員にどのような指導を行えばよいか。添付ファイル付きメールの取扱いについて指導すべき内容を40字以内で述べよ。
模範解答
添付ファイルの安全が確信できない場合、電話などで送信者に送信の事実を確認する。
解説
解答の論理構成
- 下線①の特徴は「①メール本文やタイトルにK社に関連した内容が含まれる」であり、内部連絡を装うため受信者は疑いにくい状況になります。
- 下線②の特徴は「②新たに作成された悪意あるプログラムを含んだファイルが添付されている」であり、ウイルス対策ソフトの「パターンマッチング」に掛からず検知が困難です。
- したがって受信者自身が内容の真正性を確認するしかなく、「送信者本人に別経路で確認する」という行為が最も確実な防衛策になります。
- この確認手段として最も手軽で確実なのが電話などのリアルタイムな声掛けであり、これを従業員に習慣化させるよう指導する必要があります。
誤りやすいポイント
- 送信元メールアドレスが社内で「実在するもの」であれば安全だと思い込む。
- ウイルス対策ソフトが検知しない=安全と判断して即開封してしまう。
- 添付ファイルのアイコン表示や拡張子を見て判断できると思い込み、確認行動を怠る。
FAQ
Q: 社内からのメールでも毎回電話確認するのは現実的でしょうか。
A: 頻繁にやり取りする相手ならば、過去のやり取りと異なる点がある場合のみ確認する運用で負担を軽減できます。
A: 頻繁にやり取りする相手ならば、過去のやり取りと異なる点がある場合のみ確認する運用で負担を軽減できます。
Q: チャットやSNSでの確認ではだめですか。
A: アカウント乗っ取りの可能性があるため、本人確認が容易な電話や対面を優先するよう指導します。
A: アカウント乗っ取りの可能性があるため、本人確認が容易な電話や対面を優先するよう指導します。
Q: 件名に機密情報が含まれる場合でも電話確認してよいのでしょうか。
A: 盗聴の恐れが低い内線・携帯を用い、件名を伏せた形で「先ほどの○○の件で添付を送りましたか」と確認すると安全です。
A: 盗聴の恐れが低い内線・携帯を用い、件名を伏せた形で「先ほどの○○の件で添付を送りましたか」と確認すると安全です。
関連キーワード: ソーシャルエンジニアリング, メール認証, パターンマッチング, インシデント対応