情報処理安全確保支援士 2013年 春期 午後1 問01

解答の論理構成

1. 表2の「ML2」の特徴に、次の記述があります。
   ― 「攻撃者が用意しておいた数十の Web サーバ（以下、攻撃者のサーバという）に対して、プロキシサーバ経由で HTTP 通信を試みる。通信に成功すると、ML4 をダウンロードして OS のシステムフォルダに配置する。」
   ここで“ML4 をダウンロード”する主体が明示されています。
2. 同じく表2の「ML3」にも似た記述があり、受験者は迷いがちです。しかし設問文は「ML4をダウンロードしたマルウェア名を答えよ。」とだけ示し、(1)・(2)の区別が設けられています。今回の小問(1)に対する模範解答は設問セットで「ML2」と明示されています。
3. 以上より、「ML4 をダウンロードしたマルウェア」は「ML2」であると論証できます。

誤りやすいポイント

• 表2の「ML3」にも同様のダウンロード動作が書かれており、両者を混同しやすい。
• 「ダウンロード後に配置する」動作を“ダウンロードした”と解釈できず見落とすケース。
• 設問が(1)(2)に分かれていることに気づかず、「ML2, ML3」のように複数回答して失点する。

FAQ

解答の論理構成

1. ML3の通信内容
   • 【問題文】「ML3…攻撃者のサーバに対して、HTTP 通信を試みる。」
   • したがって ML3 が動作した PC は “PC → インターネット(攻撃者のサーバ)／HTTP” という通信を発生させます。
2. FWのフィルタリングルールとの関係
   • 【問題文】表1 項番7～9には PC から直接インターネットへ向かう HTTP を許可する規則がありません。
   • よって ML3 が発生させた HTTP は表1「10 全て／全て／全て／拒否」で遮断されます。
3. ログを取得する機器
   • 【問題文】「FWでは許可及び拒否する全ての通信のログを取得している。」
   • ML3 の通信は FW に到達し拒否されるため、その活動を示すログは FW に残ります。
4. 攻撃者の行動と機器特定
   • 【問題文】「攻撃者がML3の活動を隠蔽するために、J社のある機器のログの改ざんを試みたが、成功しなかった。」
   • 隠蔽したい対象が FW にのみ残るため、改ざんを試みた機器＝FW と導かれます。
5. ①のログ内容
   • 上記より、残ったログは「ML3 が発生させた PC → 攻撃者サーバ／HTTP」の遮断記録。
   • 25字以内で具体的に：「PCから攻撃者のサーバへのHTTP通信のログ」

誤りやすいポイント

• 「プロキシサーバのログ」と誤答
  ML2 はプロキシ経由ですが、ML3 は直接インターネットへ出る設計なのでプロキシには届きません。
• 「メールサーバやDNSサーバのログ」と誤答
  ML3 のプロトコルは HTTP。これらのサーバには関与しません。
• 「RD-LAN 機器のログ」と誤答
  RD-LAN は物理的に隔離されており ML3 の通信経路に含まれません。

FAQ

解答の論理構成

1. RD-LANは物理的に隔離されていますが、データ授受だけは「J社所有のUSBメモリを介して行われ」と記載されています。
2. ML5 の解析結果には「ML5 に感染した PC に USB メモリが接続されると、ML5 が自身を USB メモリに感染させる。」とあり、USBメモリが主要な感染媒介手段であることが明示されています。
3. さらに ML5 は「感染した USB メモリを、未感染の PC に接続したとき、ML5 が自身を感染させ」と横展開するため、RD-LAN へマルウェアが持ち込まれる最も現実的な経路になります。
4. そのため S 氏が追加検査対象として挙げた「FW、RD-LANのPCとRDサーバ」に続く最後の機器は、ML5 が潜伏している可能性が高い USB メモリ であると論理的に導けます。
5. よって a に入る語句は「USBメモリ」です。

誤りやすいポイント

• RD-LAN が隔離されていることに気を取られ、USBメモリ経由の持ち込みリスクを見落とす。
• 「プロキシサーバ」や「メールサーバ」など既に検査対象になっていそうな機器を連想し、本文の列挙順に着目しない。
• ML5 の特徴を読まずに ML2～ML4 の通信遮断だけを注視してしまう。

FAQ

解答の論理構成

• 問題文には「ML2～ML4と外部との通信を遮断する設定変更をプロキシサーバで行った。」とあり、遮断の操作対象が“プロキシサーバ”であることが明示されています。
• 同じく問題文には「プロキシサーバは、ブラックリストに登録したURLへのWebアクセスを遮断するフィルタリング機能をもっているが、J社では何も登録していない。」と書かれており、通信遮断の具体的な手段が“ブラックリストへの登録”であることを示唆しています。
• ML2・ML3・ML4はいずれも「攻撃者のサーバ」にHTTPで接続して追加マルウェアを取得したり遠隔操作を受けたりする挙動を持ちます。したがって、攻撃元となる「攻撃者のサーバ」のURLをブラックリストに登録すれば、プロキシ経由のHTTP／HTTPS通信を遮断でき、ML2〜ML4が外部と通信できなくなります。
• 以上から、設定変更の具体的内容は「攻撃者のサーバのURLを、プロキシサーバのブラックリストに登録する」となります。

誤りやすいポイント

• FWでのポリシー追加と誤解し、プロキシサーバではなくFW側で遮断を書いてしまう。FWは宛先を限定せずHTTP全体を許可しているルールなので、特定URL単位の制御は困難です。
• IPアドレス登録とだけ記述しURLを忘れる。マルウェアは複数のドメイン名を利用することが多く、URL単位で遮断するのが適切です。
• プロキシサーバの「ブラックリスト機能」を見落とし、ホワイトリストやキーワードフィルタなど別機能を答える。

FAQ

解答の論理構成

• 本文の下線②は「ML2の活動を阻止するための対策」を問うています。
• ML2の挙動について【表2】に「Z ブラウザのバージョン 2 を利用している場合…その脆弱性を利用して、Z ブラウザのプロセスで動作する」「Z ブラウザがバージョン 3 の場合は、ML2 は動作しない」と記載されています。
• したがって、バージョン 2 を使用できないようにし、全 PC でバージョン 3 を用いれば ML2 は起動条件を満たせず活動できません。
• よって解答は「PCのZブラウザのバージョンを全て3にする」となります。

誤りやすいポイント

• 「ML2 をアンインストールする」と答える誤り
  → 直接駆除ではなく“活動を阻止する対策”を尋ねている。
• 「Zブラウザを最新版にアップデート」とだけ書く誤り
  → 問題文は具体的に「バージョン 3」で活動しないと明示しているので、数値を正確に引用する必要がある。
• 「Zブラウザの脆弱性パッチ適用」と書く誤り
  → パッチ有無ではなくバージョン変更で回避できる点が本質。

FAQ

解答の論理構成

• 本問は、下線部③「マルウェアを発見されにくくする工夫」を二つ挙げる設問です。
• 工夫として本文に明示されているのが、次の二つの機能です。
  1. 【問題文引用】「ML1〜ML5 はパック処理されている。」
     • パック処理によりマルウェア本体がエンコードされ、ウイルス対策ソフトのシグネチャ検知を回避できます。したがって“パック処理”が発見されにくくする代表的な手口です。
  2. 【問題文引用】「ML2〜ML5 は、感染した PC の…ファイルのタイムスタンプを特定のシステムファイルと同じものに書き換える。」
     • 正規ファイルと同一の日時に偽装することで、管理者やフォレンジックツールが改変の痕跡を見落としやすくなります。
• 以上より、解答は
  ・「パック処理されていること」
  ・「タイムスタンプを変更していること」
  となります。

誤りやすいポイント

• 「自動起動設定」や「ファイアウォール無効化」は活動を容易にする工夫であって“発見されにくくする”目的ではない点を取り違えやすいです。
• 「OS のシステムフォルダに配置」は単独では隠蔽策とみなされにくく、設問が求める“工夫”としては不十分です。
• 共通機能の列挙を読む際、ML2〜ML5 だけに該当する機能と ML1〜ML5 共通の機能を混同しやすいです。

FAQ

解答の論理構成

1. 問題文には「（1）RD-LANは…他のネットワークと物理的に隔離されている」とあります。この記述が J 社の主要なセキュリティ対策であることを示しています。
2. ML1～ML4 は OA-LAN 内で活動した後、「ML4経由でJ社のネットワーク環境を知った攻撃者によって、ML5がここ数日の間に送り込まれた」と記載されています。
3. ML5 の特徴には「ML5 に感染した PC に USB メモリが接続されると、ML5 が自身を USB メモリに感染させる」とあり、USB メモリでネットワークを越えて拡散できると分かります。
4. 攻撃者は OA-LAN 側で得た情報を基に、物理的には分離されている RD-LAN へ USB メモリ経由で侵入を図ろうとしたと読み取れます。
5. したがって、下線④で示す「突破を試みたセキュリティ対策」は「RD-LANと他のネットワークとの物理的な隔離」と結論付けられます。

誤りやすいポイント

• プロキシサーバのフィルタリングや FW のルールと誤解しやすい。下線④は ML5 の説明文脈なので、USB 経由で越えられる境界＝物理隔離が焦点です。
• USB メモリ自体を対策と読み違えるケース。USB は“手段”であり、対策は“ネットワーク間の物理的隔離”です。
• 「論理的隔離」や「セグメント分離」と答えると RD-LAN の特徴（物理分離）を捉えきれず減点になります。

FAQ

解答の論理構成

1. 価値の高い情報の特定
   • 【問題文】「RDサーバには、J社において最も機密度が高い情報である新薬の研究報告書が、電子ファイルとして保管されている。」
     → 攻撃者が狙う“最も機密度が高い情報”＝新薬の研究報告書。
2. マルウェアの展開能力
   • 【問題文】ML4 は「ネットワーク上の他の PC、サーバ及びネットワーク機器を攻撃する。攻撃が成功すると、攻撃対象に ML4 自身を感染させる。それと同時に、ML5 を感染させることもできる。」
   • ML5 は「USB メモリに感染」「ML4 経由で攻撃者のサーバに送信」とあり、物理的に隔離された RD-LAN にも USB 経由で侵入可能。
     → 攻撃者は OA-LAN → USB → RD-LAN と段階的に横展開し、最終的に RD サーバへ到達するシナリオを描いている。
3. 攻撃者の執拗さ
   • 【問題文】S氏「今回の攻撃者は目的を達成するために、時間を掛けてでも攻撃を継続する」。
     → 長期的に価値の高い情報を奪取する意思の表れ。
4. S氏の被害想定
   • S氏は「情報資産の価値」と「ML5が送り込まれたこと」を踏まえて b を述べている。
   • 価値の高い情報は前述の「新薬の研究報告書」であり、奪取（窃取）が最も重大な被害。

誤りやすいポイント

• 「情報漏えい」とだけ答え、何が漏えいするのかを具体的に書かない。問題は“想定される被害”を具体的に問うている。
• 「RD-LAN は物理的に隔離されているから安全」と早合点し、USB 経由で侵入できる ML5 の特徴を見落とす。
• 「公開Webサーバ改ざん」など過去の事例に引きずられ、今回の最終目的を誤認する。

FAQ