※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
答: [a] FW1 [b] プロキシサーバ
プロキシサーバから外部インターネット(C&Cサーバ宛)への通信は図1より「FW1」を通過するため、「FW1」のログを確認すれば通信の有無を確かめることができます。
よって[a]には「FW1」が入ります。
図1より社内PCは「プロキシサーバ」を経由し、外部インターネットにアクセスします。この「プロキシサーバ」のログには通信した端末のIPアドレスが記録されていますので、C&Cサーバと通信した端末の特定をすることができます。よって[b]には「プロキシサーバ」が入ります。
答: 内容) 削除されたファイルの内容
手段) 空きセクタの内容からファイルを復元する
マルウエアは侵入に成功した後に、痕跡をなくすため感染活動に使用した自身のファイルを削除する機能を持つ場合があります。
調査にあたりファイル単位のコピーだと「削除されたファイルの内容」の調査ができませんが、セクタ単位でコピーした場合は、ディスク上の空きセクタの内容を読み解き、ファイルを再生復元できることがあります。
よって、「空きセクタの内容からファイルを復元する」手段を使って「削除されたファイルの内容」を調査することができるという解答になります。
(1) 無線LANの通信を傍聴することでBさんのMACアドレスを知ることができる理由を述べよ
答: MACアドレスが平文で送信されるため
IEEE802.11規格で使用する無線LAN通信では、MACアドレスが平文で送信されます。攻撃者がWiresharkなどのパケットアナライザで無線LANの通信を傍聴すれば、無線LANの通信をしている端末のMACアドレス情報を簡単に入手することができます。
(2) 攻撃者が無線LAN端末を総務部のW-APに接続できる方法を述べよ
答: 無線LANポートのMACアドレスを総務部のW-APに登録済のMACアドレスに変更する
総務部のW-APには、事前に接続可能なMACアドレスが登録されています。
無線LANの通信を傍聴するなどにより接続可能なMACアドレスを特定し、自身の端末のMACアドレスをそのMACアドレスに変更することで不正に総務部のW-APに接続できることになります。
(1) TCP/IPの特徴を述べよ
答: IPヘッダ部及びTCPヘッダ部は同一のバイト文字列であることが多いこと
IP及びTCPパケットはヘッダ部とデータを格納するペイロード部という2つからなりますが、ヘッダ部は制御情報を記したデータのため同一のバイト文字列であることが多くなります。
(2) [c]~[e]に入る字句を答えよ
答: [c] 同一の暗号ブロック [d] 平文ブロック [e] カウンタ値を暗号化した値
TCP及びIPパケットをヘッダも含めて平文ブロックに分割すると、同一端末間の異なるパケットでも、同一の平文ブロックが繰り返し現れます。
これをECBモードで暗号化処理をすると、同一の暗号ブロックが繰り返して現れることになります。[c]は”同一の暗号ブロック”が入ります。
続いてCTRモードでは、図3のようにカウンタcを暗号処理で暗号化した値と平文ブロックの排他的論理和が暗号ブロックとなります。[d]が推測できた場合に[e]は予測できるとありますが、もしTCP及びIPヘッダ部など暗号ブロックから平文を推測できてしまうブロックがある場合は、カウンタ値を暗号化した値は逆算できてしまいます。
また、もしカウンタ値をインクリメント(増加)せず、同一のカウンタ値を暗号化した値を使用して、平文を暗号処理すると異なるパケットの暗号ブロックを作成してしまう可能性があるためCTRモードでは、カウンタの扱いには注意が必要です。
解答ですが、[c]に”同一の暗号ブロック”、[d]に”平文ブロック”、[e]に”カウンタ値を暗号化した値”が入ります。
(1) [f]に入る字句を答えよ
答: [f] 読み取る
HTTP通信では情報が平文で送信されますのでプロキシーサーバで通信の内容を「読み取る」ことができます。
一方でHTTPS通信では情報が暗号化されて送信されるため、通信の内容を復号できない限りは「読み取る」ことができません。よって解答には「読み取る」が入ります。
(2) [g]、[h]に入る字句を答えよ
答: [g] カ.ホスト名 [h] オ.パス名
社内PCからプロキシサーバへ接続要求するときにCONNECTメソッドを使用します。
このメソッドでは下記のように、ホスト名とポート番号が渡されます。
CONNECT www.dxnote.net:443 HTTP/1.1\r\n
このようにパス部(ファイル名もしくはページ名)の情報はありませんので、ブラックリストでパス部を指定できません。よって[g]にはカ.ホスト名が、[h]にはオ.パス名が入ります。
(3) マルウエアが社外に窃取した情報を送信する方法を2つ述べよ
答: ・攻撃者が用意したW-APサーバに接続し情報を送信する
・内部メールサーバを利用し攻撃者にメールを送信する
設問3の(2)で述べましたが、1つは攻撃者が無線LAN端末を用意してW-APに不正に接続する方法があります。
もう1つはN社の内部メールサーバを使用した方法で、メールに窃取した情報を添付し攻撃者のメールに送る方法があります。
(1) [i]に入る字句を答えよ
答: [i] 信頼するCAのディジタル証明書
CSR(証明書要求)に対して認証局(CA)の秘密鍵を使い、電子署名を付与したものが通常の「ディジタル証明書」ですが、
これを認証局(CA)ではなく自身の秘密鍵で署名を付与したものを「自己署名証明書」と呼びます。
「自己署名証明書」は上述のとおり公的には信頼されていない証明書となりますので社内PCとのHTTPS通信時に、社内PC側でセキュリティ警告やエラーが表示されます。それを防ぐため自己証明書を「信頼するCAのディジタル証明書」としてすべての社内PCに事前に登録しておく必要があります。
(2) [j]に入る字句を答えよ
答: [j] クライアント証明書の提示が必要な外部Webサーバにアクセスする
「クライアント証明書の提示が必要な外部Webサーバにアクセスする」が解答になります。
”制約の原因”でFW1は社内PCがもっているクライアント証明書に対応した秘密鍵を利用することができません、と書いてあります。
FW1が秘密鍵を利用することできなければ、社内PCから外部Webサーバ宛の通信で電子署名を付与できません。
※クライアント証明書とは、個人や組織を認証し発行される電子証明書のことです。社内PCにクライアント証明書をインストールすることで、自身が利用者本人であることを証明できます。
(3) [k]に入る字句を答えよ
答: [k] FW1の製造元によって安全性を確認されていないCAが発行したサーバ証明書を使用した外部Webサーバにアクセスする
FW1の製造元によって安全性が確認されたCAのディジタル証明書だけが信頼できるルートCAのディジタル証明書として登録されている、と書かれています。
FW1の製造元によって安全性を確認されていないCAが発行したサーバ証明書を使用した外部Webサーバにアクセスするするには対策が必要になります。
答: [a] 秘密管理性 [b] 有用性 [c] 非公知性
不正競争防止法上の「営業秘密」要件について
①秘密管理性…秘密として管理されていること
②有用性…事業活動に有用な技術上又は営業上の情報であること
③非公知性…公然と知られていないこと
[a]は文書に秘密情報と記載、閲覧者を制限とありますので秘密として管理されている「秘密管理性」に該当します。
[b]はA社の金属加工技術という開発技術に関する情報のため「有用性」に該当します。
[c]は一般的に知られていない情報とありますので「非公知性」に該当します。
(1) [d]に入る字句を記号から選び答えよ
答: [d] オープンリレー
オープンリレー(別名:第三者中継)とは、本来受け付ける必要のないメール送信依頼を外部から受け付けて中継してしまい、第三者から別の第三者へのメール送信を行うことです。
悪意のある人によって迷惑メール送信の踏み台として使用されてしまいます。
(2) 接続を許可するネットワークアドレスを答えよ
答: x1.y1.z1.16/29
内部システムLAN上のサーバ及びDPCからのインターネットアクセス(=Webメールの使用)は全てプロキシサーバ経由で行われます。
Webメール接続元制限機能で、A社のネットワークからだけの利用を許可するためには、プロキシサーバが属するDMZのネットワークアドレス”x1.y1.z1.16/29″からだけの接続を許可すればよいことになりますので”x1.y1.z1.16/29″が解答になります。
(1) [e]に入るIPアドレスを答えよ
答: [e] x1.y1.z1.18
オープンリゾルバとは、不特定のクライアントからのIPアドレスの問合せについて、コンテンツサーバへ繰り返し問合せを行い最終的な回答をするDNSサーバのことです。
本来受付する必要のない問合せも外部から受付してしまうと、サーバに負荷がかかります。
内部システムLAN上のサーバ及びDPCからのインターネットアクセスは全てプロキシサーバ経由で行われますのでプロキシサーバだけからの名前解決を許可するようにしておきます。よって解答にはプロキシサーバのIPアドレスである「x1.y1.z1.18」が入ります。
(2) [f]に入る字句を答えよ
答: [f] NTP
「NTP」 (Network Time Protocol)とは、 ネットワークに接続されたコンピュータや機器の時刻同期に用いられるプロトコルです。時刻同期ときたら「NTP」サーバと覚えておきましょう。
(3) [g]に入る字句を答えよ
答: [g] ア.AES
ア.AESは、DESに代わり2000年に米国政府が採用した共通鍵暗号方式の一つ。ブロック長は128ビット、使用する鍵長は128/192/256から選択でき、CRYPTREC推奨の暗号方式となっている。
イ.DESは、1977年頃に米国政府が採用した共通鍵暗号方式の一つ。鍵長が56ビットと短く、安全ではないためCRYPTREC推奨の暗号方式ではない。
ウ.HMACは、Hash-based Message Authentication Codeの略でハッシュ関数と暗号鍵を使用してメッセージ認証を行なう仕組み
エ.MD5は、任意の長さの原文を元に128ビットの値を生成するハッシュ関数の一つ。
オ.ZipCryptoは、ZIPファイルの暗号化方式の一つ。重大な脆弱性があるためCRYPTREC推奨の暗号方式ではない。
答えはア.AESです
※CRYPTREC推奨暗号方式については電子政府における調達のために参照すべき暗号のリスト(令和3年4月1日最終更新)をご覧ください
(4) [h]に入る字句を答えよ
答: [h] CRYPTREC
CRYPTRECとは、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトのことです。
答: [i] エ.ハッシュ値
あらかじめ保護対象ファイルの”ハッシュ値”*を計算して保存しておきます。もしファイル内容が一部でも変わると異なるハッシュ値が得られますので、定期的に保護対象ファイルのハッシュ値を計算して、あらかじめ保存してあるハッシュ値と”比較”し、ハッシュ値が一致すれば”変更”や改ざんがされていないことが確認できます。
*ハッシュ値・・・ハッシュ関数という元データから別の文字列を生成する特殊な関数で計算して得られた値のこと
(1) サーバのログ調査だけでは操作者の特定に不十分な理由を述べよ
答: なりすましによるアクセスの場合、操作した人物とログに記録された利用者IDは異なるから
サーバのログ調査でIPアドレスや利用者IDから不審な動作をした端末やアカウントは特定できますが、攻撃者が社員になりすまして遠隔操作している可能性もあり、実際の操作者かどうかは特定することができません。
そのため当事者へのヒアリングやDPCの動作ログの調査もあわせて行う必要があるとFさんは判断しました。
(2) 共同出品担当メンバの操作ではないと判断した根拠を述べよ
答: アクセスがあったとき、共同出品担当メンバはB社にいてKさんのDPCを使用できないこと
不審なアクセスの時間帯(表6の項番4~9)は16:50ですが、図2より13:00~17:30は共同出品担当メンバはB社にいてKさんのDPCを使用はできません。
よって解答は”アクセスがあったとき、共同出品担当メンバはB社にいてKさんのDPCを使用できないこと”になります。
(3) ID-Kへの一時的な対処を述べよ
答: パスワードを変更する
何者かによってID-Kのパスワードが知られ、不正なログインが成功しているため、一時的な対処として。「パスワードを変更する」対処が必要になります。
(4) フルスキャンした目的は何か
答: マルウェアXを含む圧縮ファイルを保存しているDPCの有無を確認するため
フルスキャンでは、CPUの負荷を減らすため、圧縮ファイルは対象外としていましたが、今回の件でZIP形式のファイルからマルウェアXが見つかったため、他に「マルウェアXを含む圧縮ファイルを保存しているDPCの有無を確認するため」に一時的に圧縮ファイルも対象になるよう設定変更した状態でフルスキャンを実施しました。
(5) 圧縮ファイルをフルスキャンの対象にしなくてもDPCがマルウェアに感染するリスクが変わらない理由を述べよ
答: 圧縮ファイルを展開すると、展開したファイルに対してリアルタイムスキャンが実行されるから
マルウェア対策ソフトのリアルタイムスキャン機能は、ファイルの読み書きが行われたタイミングで実行されます。ZIPなどの圧縮ファイルを展開したタイミングでリアルタイムスキャンが動作するため、フルスキャンの対象にしなくてもスキャンが行われるため感染リスクが変わりません。
(1) 設計情報管理サーバへのアクセスを制限するための設定変更案を述べよ
答: アクセスを許可するIPアドレスとして設計部LAN及び製造部LANだけを登録する
最低限のメンバのみがアクセスできるように変更する必要があります。設計情報管理サーバは設計部LAN及び製造部LANだけが使用しますので、そのIPアドレスからのみアクセスを許可するように変更すればよいです。
(2) パスワードについて見直し後の運用方法を述べよ
答: 初期パスワードは利用者ごとに異なるランダムな文字列にする
利用者IDは利用者のメールアドレス、初期パスワードにはメールアドレスと同じ文字列を登録し利用者に通知する、とあります。
ID-Kのパスワードが初期パスワードのまま変更していなかったことから、簡単に予測され突破されてしまったと思われます。初期パスワードには予測されにくい文字列にする必要があります。よって解答は「初期パスワードは利用者ごとに異なるランダムな文字列にする」になります。
答: [j] 管理者に通知
集中管理サーバでリアルタイムにどのPCでマルウェアが検知したかを把握できることで、マルウェアの調査や脆弱性修正プログラムの必要性の有無などの判断を迅速に行うことができ、被害を最小限に抑えることができます。
よって解答には「管理者に通知」が入ります。