令和3年秋「情報処理安全確保支援士試験」午後2問2の振り返りメモになります。
- お話
- どんな問題が出たか?
- テレワーク化によるネットワーク構成変更
- 他組織含めたマルウェア対応
- マルウェアが攻撃(C&C)サーバのFQDNとIPアドレスリストを持っていたので、リストにあるIPアドレスへの通信をFWでガードしただけだと不足。何故?
- 代わりにDNSで危険なFQDNの問い合わせをはじく機能(DNSシンクホール機能)を使っても不足。何故?
- 感染されているかチェックするログは?
- 遠隔操作確立or情報流出orログ削除がなかったとしても感染しているケースは?
- 他組織と情報連携するサーバは本社内でなく統合脅威管理(UTM)を使うDCに置いた方が良い。何故?
- 情報連携するサーバに「開くと感染する」ファイルがマルウェアによって仕込まれた可能性が。いつのログから確認すればよい?
- イベントログ以外にFWログから感染PCを調査する方法は?
- 他組織の連携端末から感染拡大が広がったか確認したい!各組織のFWログは何を確認すれば良い?
お話
他組織へ技術情報を発信している化学会社において、感染して情報を盗むマルウェアが仕込まれてしまい、自社の対処やら他組織への感染影響確認やらでてんやわんやになるお話です。
なお、前半には今どきらしくテレワーク環境構築に向けネットワーク負荷軽減の問題も出題されました。
どんな問題が出たか?
テレワーク化によるネットワーク構成変更
電子政府で推奨される暗号リストは?
CREPTREC。過去もよく出題されており丸暗記要な8文字。
回線逼迫防止のため支社のメールサービスへのアクセスはデータセンタ(以下DC)経由せず直接インターネット回線に接続させる構成は?
ローカルブレイクアウト。知識問題。
上記(インターネットから直接接続)設定にしたらメールサービス利用できなくなった。何故?
メールサービスの送信元IPアドレス制限で通信が拒否されたため。
他組織含めたマルウェア対応
マルウェアが攻撃(C&C)サーバのFQDNとIPアドレスリストを持っていたので、リストにあるIPアドレスへの通信をFWでガードしただけだと不足。何故?
攻撃者サーバのIPアドレスを変更されるとガードが効かなくなるため
代わりにDNSで危険なFQDNの問い合わせをはじく機能(DNSシンクホール機能)を使っても不足。何故?
C&Cサーバとの通信にマルウェアがDNS問い合わせをしない(IPアドレスで通信)する場合があるため
感染されているかチェックするログは?
イベントログから「C&Cサーバと遠隔操作確立」or「C&Cサーバへ情報送信」or「イベントログ削除」のいずれかがあるかチェック。
文中の記載から読み解く問題で最後のイベントログ削除が問われました。
遠隔操作確立or情報流出orログ削除がなかったとしても感染しているケースは?
感染を受けたPCでまだ攻撃者サーバと遠隔操作確立していない状態のPC。
文中のマルウェアの挙動として「①待機機能」「②横展開機能」「③遠隔操作機能」があり、①②の挙動しかしていない状態が問われました。
他組織と情報連携するサーバは本社内でなく統合脅威管理(UTM)を使うDCに置いた方が良い。何故?
UTMのIDS機能によって攻撃が検知でき、システム管理者に連絡がいくため。本文のUTMの中にIDSの説明があり、それを読み解く問題でした。
情報連携するサーバに「開くと感染する」ファイルがマルウェアによって仕込まれた可能性が。いつのログから確認すればよい?
「開くと感染する」ファイルを生成するマルウェアに最初にPC感染が確認された日以降。
イベントログ以外にFWログから感染PCを調査する方法は?
マルウェアが持っていたC&CサーバのIPアドレスリストを宛先とする通信を確認。
他組織の連携端末から感染拡大が広がったか確認したい!各組織のFWログは何を確認すれば良い?
C&CサーバのIPアドレスリストを宛先とする通信のうち、連携端末以外のIPアドレスがあるか確認する。
連携端末は既にネットワークから切り離した出題設定のため、上記ログがなかったら感染拡大リスクが非常に低くなる内容が出ました。