※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
答: MAIL FROM
「このアドレスからの送信です」と送信元アドレスを指定し、メールサーバに認識させるコマンドです。また、エラー発生時に通知を受け取るアドレスでもあります。
SMTPのコマンドにはこのほかに、送信元のホストドメイン名をメールサーバに認識させる「HELO」コマンド、宛先のメールアドレスを指定する「RCPT TO」コマンドがあります。あわせてチェックしておきましょう。
(1) [b]~[i]に入る内容を○または×で答えよ
答: b)× c)× d)× e)× f)× g)○ h)× i)×
g)だけが”○”でそれ以外は設定不十分のため”×”。攻撃に対して有効な対応にするためには下記を満たす必要があります。
・攻撃者に使用されるメールドメインのSPFレコードがDNSサーバに設定済み
・受信メールサーバがSPFレコードの問合せに対応
この2点を念頭において攻撃①と攻撃②の内容をみていきます。
【攻撃①】 攻撃者が取引先のメールアドレスを使用してN社にメールを送信した場合・・・
取引先のメールサーバ情報が取引先のDNSサーバに設定され、かつ受信するN社の外部メールサーバが問合せを実施するようにしていれば効果があります。
【攻撃②】 攻撃者がN社のメールアドレスを使用して取引先にメールを送信した場合・・・
N社のメールサーバ情報がN社の外部DNSサーバに設定され、 かつ受信する取引先のメールサーバが問合せを実施するようにしていれば効果があります。
下図の赤枠、青枠それぞれで「実施するかつ設定済み」の組合せを探してみてください。攻撃2の列のgだけが条件に該当するため”○”、他はすべて”×”です。
(2) [j]に入る適切な字句を答えよ
答: j)x1.y1.z1.1
n-sha.co.jp. ドメインを送信元としてメール送信する場合、送信メールサーバのIPアドレスが[j]であれば許可し、それ以外のIPアドレスからであれば拒否するという意味です。
送信を許可するIPアドレス=N社のメールサーバのIPアドレスが解答になりますが、それは図2で確認することができます。
1行目のMXレコードとはメールサーバのホスト名を記載するレコードです。
この場合は△△△@n-sha.co.jpのメールはmail.n-sha.co.jp.から送信するという意味になります。
2行目のAレコードでメールサーバ?mail.n-sha.co.jp. の IPアドレスはx1.y1.z1.1ですと記述されていますので、答えは”x1.y1.z1.1″です。
(3) SPF認証が失敗する理由をSPF認証の仕組みを踏まえて述べよ
答: 送信元DNSサーバに設定されたIPアドレスと接続元SMTPのIPアドレスが一致しないから
メールを受信するメールサーバがSPFレコードの問合せをした際に「N社のSMTPのIPアドレス」が許可するIPアドレスとして返ってきますが、別のメールサーバがEnvelope-FROMを変えずに転送すると”接続元SMTPのIPアドレスが、転送するメールサーバのIPアドレスになるため、DNSサーバのSPFレコードで記述されているIPアドレスと一致しないため”といった内容を書けばよいと思います。
(4) 下線②の検証によってメールの送信元の正当性以外に確認できる事項を述べよ
答: 改ざんされていないこと
◆DKIMによる認証の流れ
※送信側メールサーバは事前に公開鍵をDNSサーバに登録しておく
1.送信側メールサーバは送信するメール情報からハッシュ値を計算して、そのハッシュ値を自身の秘密鍵で暗号化(これを電子署名と呼ぶ)
2.電子署名をメールヘッダに付与してメールを送信
3.受信側メールサーバはメールヘッダから特定したドメインのDNSサーバから公開鍵を取得し、その電子署名を公開鍵で復号…(a)
4.電子署名からのハッシュ値と受信したメールから計算したハッシュ値が一致するかを検証…(b)
(a)復号できたので送信した本人から送られたメールであるをことを確認
(b)「ハッシュ値が一致した」ということはデータが改ざんされていない
このように1~3の手順によって、なりすましやメールの改ざんの有無【真正性】を確認することができます。
よって解答は”改ざんされていないこと”になります。これが電子署名を用いた送信ドメイン認証(DKIM)です。
答: k) mail.x-sha.co.jp l) x2.y2.z2.1
m) quarantine n) r
設問2でふれましたがMXレコードはメールサーバのホスト名を定義するレコードになります。letter@a-sub.n-sha.co.jp のメール配信に”X社の配信サービスを利用”しますのでX社のメールサーバのホスト名である「mail.x-sha.co.jp」が[k]の解答になります。
また、[l]はSPFレコードで許可するのはどのグローバルIPアドレスのメールサーバからの送信か?いうことですので、解答はメールサーバのグローバルIPアドレスの”x2.y2.z2.1″になります。
[m]は文中に「検証に失敗したポリシは隔離する」とあるので”quarantine”になります。
最後に[n]はHedder-Fromにはletter@n-sha.co.jp、Envelope-Fromにはletter@a-sub.n-sha.co.jpが設定されますので、組織ドメイン部分にあたる「n-sha.co.jp」が一致すれば認証するように設定すれば問題ありません。よって解答は”r”になります。
答: N社の取引先と似たメールアドレスから送信ドメイン認証を使用してメールを送信した場合
攻撃者は事前にDNSサーバにa-sub.n-sya.co.jpのSPFレコードを登録しておきます。
そしてN社の取引先を装いabc@a-sub.n-sya.co.jpから送信ドメイン認証を使用してN社にメールを送ったとします。
すると、メールを受信したN社メールサーバは、a-sub.n-sya.co.jpをSPF問合せに失敗せず、送信ドメイン認証を使用していることによりn-sya.co.jpから確かに送られ、改ざんされていないという結果が得られ、なりすましが成功してしまう可能性があります。
よって解答は”N社の取引先と似たメールアドレスから送信ドメイン認証を使用してメールを送信した場合”になります。
(1) 通信が遮断された理由を述べよ
答: プロキシ認証に失敗したため
PCからインターネットへアクセスするためには利用者IDとパスワードによるBASIC認証(=これをプロキシ認証という) が必要です。マルウエアPはプロキシ認証できずにインターネットへアクセスしようとしたため遮断されたと考えることができます。
(2) [a]に入れる適切な機器を答えよ
答: (b).FW
もしマルウエアがパブリックDNSサービスLとDNS通信するときにはそのパケットが”FW”を通過しますので”FW”の動作ログに残ります。
(3) 情報持ち出しに成功した可能性が高いと判断される痕跡を2つ上げよ
答: ・グローバルIPアドレスMへのHTTP通信成功ログ
・パブリックDNSサービスLへのDNS通信成功ログ
「C&Cサーバへの通信が成功」=「情報持ち出しに成功」と考えます。図2のISACから提供されたサイバーセキュリティ情報の(う)の2通りの方法での通信成功ログが解答になります。
(4) ISACに伝えるべき情報を2つ上げよ
答: イ、ウ
マルウエアはファイル名を変更する特性があること、PCのプライベートIPアドレスは社内調査のみで有用な情報のため(エ)~(キ)は解答から外されます。他社がセキュリティ対策に使えるマルウエアの共通する特性は下図の部分に記載されています。(イ)、(ウ)が解答になります。
(1) ソフトウエアのデジタル署名の検証に利用する証明書はどれか
答: エ.コードサイニング証明書
S/MIME証明書はメール、TLSクライアント証明書はクライアント、TLSサーバ証明書はサーバの署名に対して検証します。
(2) プロキシ認証情報の搾取に使用できない攻撃手法はどれか
答: ウ.ゴールデンチケットの搾取
ア.ブラウザを使用してプロキシ認証を行うため、オートコンプリートによる情報がブラウザに保存されていると盗まれてしまう
イ.キーロガーを使ってプロキシ認証時のキーボードの入力キーから認証情報を盗まれてしまう
ウ.ゴールデンチケットとは、Active Directory の認証用アカウントの認証情報を使用して作成されたチケット
エ.総当たり攻撃でIDとパスワードを試し、認証を突破されてしまう可能性がある
オ.偽サイトに入力させることで攻撃者に認証情報が送られてしまう
カ.ネットワークの通信内容が平文であれば認証情報が盗まれてしまう
プロキシ認証情報の搾取に使用できない攻撃手法は、ウのゴールデンチケットの搾取になります。
(3) 変更すべきフィルタリングルールの項番と変更すべき内容を答えよ
答: 項番3 送信元:DMZ 宛先:インターネット サービス:DNS
表3の項番2に記載がありますが、マルウエアは「オフィスセグメント」のPCに感染し、「インターネット」宛に「DNS」サービスを利用してC&C通信しますので、これを防げるように変更する必要があります。
現状のFWのフィルタリングルールの項番3では、「全て」の送信元から「インターネット」宛に「DNS」サービスへの通信を許可していますが、この送信元は「全て」ではなくメールサーバかプロキシサーバからDNSクエリを受けた「外部DNSサーバ」だけの通信を許可するよう変更すればマルウエアの通信は遮断されます。
なので解答の送信元を「全て」から外部DNSサーバが含まれるセグメントである「DMZ」だけに変更すればよいです。
(4) [b]~[e]に入る字句を答えよ
答: b) 権威DNSサーバ c) 外部DNSサーバ d) 再帰的クエリ e) 特定のドメインに対する多数のDNSクエリの発生
図にそってDNS通信の簡単な流れを説明します。※例として攻撃者のドメインをkougeki.netとしています
(1).マルウエアに感染したPCはkougeki.netのIPアドレスは何ですか?と【外部DNSサーバ】に問合せをする。
(2)-(3).kougeki.netというドメインが外部DNSサーバにはキャッシュされていなければ、インターネット経由でルートサーバに問合せをする。するとルートサーバはnetサーバの権威DNSサーバ(別名コンテンツサーバ)のIPアドレスに問合せるよう返答がある。
(4)-(5).外部DNSサーバからnetサーバの権威DNSサーバへ問合せるとkougeki.netの【権威DNSサーバ】のIPアドレスに問合せるよう返答があり、ここで攻撃者がkougeki.netの【権威DNSサーバ】にC&CサーバのIPアドレスを設定していれば、(8)でそのIPアドレスが返答され、C&CサーバにDNSクエリが送信され、結果として攻撃者に情報が窃取されてしまう通信になる。
※(1)のようなPCから外部DNSサーバへの問合せを【再帰的クエリ】といい、(2)(4)(6)のような外部DNSサーバから権威DNSサーバへの問合せを【非再帰的クエリ】という。
~DNS通信による大量の情報が持ち出される場合の特徴~
1.長いホスト名を持つDNSクエリの発生・・・
問合せのクエリのホスト名の部分にパスワードなどの情報を埋め込むことでC&Cサーバに情報を送ることができるため。
2.【特定ドメインに対する多数のDNSクエリの発生】・・・
特定ドメイン(例ではkougeki.net)に対する多数のDNSクエリの発生させてC&Cサーバに大量の情報を送ることができるため。
★解答欄を埋めるとこのようになります。
(1) 不審PCの電源が入っていれば、電源を切らずにしておくようにする目的を述べよ
答: メモリ上の情報が失われないようにするため
メモリにはプログラム内の命令やデータを記憶する役割がありますが、揮発性という特性があり、電源を切ると記憶していたデータが消えてしまいます。もし消えてしまうと原因を調査できなくなる可能性があるため電源は消さずにしておくようにします。
(2) 不審PCを利用者LANから切り離さない場合、マルウエアのどのような活動が想定されるか2つ挙げよ
答: ・J社情報システムに感染を拡大する
・インターネットに情報を送信する
マルウエアにはネットワークを介して他の機器への感染する、攻撃者のサーバと通信して秘密情報を外部に送信するという特徴があります。
答: a) ウ b) イ c) オ d) ア
a) ipconfig/all は現在のTCP/IPネットワーク設定の情報を表示するコマンド。L-PCのIPアドレス、MACアドレスなどの情報を取得する場合に使用するので解答は”ウ”です。
b) systeminfo はOSやメモリ、ネットワークカードなどの情報を表示するコマンド。L-PC内で悪用できる脆弱性を確認するためにOSのバージョンや脆弱性修正プログラムの適用状況を確認できるので解答は”イ”です。
c) tasklist は現在実行中のプロセスの一覧を表示するコマンド。実行中のプロセス一覧を取得し、マルウエアの解析環境でないか確認することができるので解答は”オ”です。
d) net view は自身の所属するワークグループまたはドメイン内にあるコンピュータの一覧を表示するコマンド。L-PCからその時点で接続可能な端末の一覧を確認できるので解答は”ア”です。
(1) [e]に入る適切な内容を述べよ
答: IPアドレスがy1.x1.z1.w1の通信履歴
C&Cサーバは攻撃者が用意した情報を不正に窃取するためのサーバです。感染したPCはインターネットを経由してC&Cサーバへ通信します。LANからインターネット側へ出ていく通信はFWを通過し、FWのログに記録されます。
FWのログに”C&CサーバのIPアドレスであるy1.x1.z1.w1の通信履歴”が含まれているかを確認することでマルウエアMに感染したかどうかの確認ができます。
(2) FWのログを使った確認で検知できないのはPCがどういう状態にある場合か述べよ
答: 感染したが、C&Cサーバと通信する前にネットワークから切り離された状態
LANから外部のインターネット側へ出ていく通信のときにFWのログに記録されますので、マルウエアMに感染しても”C&Cサーバと通信する前にネットワークから切り離された状態”であれば、この確認方法では検知できなくなります。
(3) マルウエアMに感染しているPC又はサーバをRログを使って検知する方法を述べよ
答: RログをマルウエアMのハッシュ値で検索する
表1のRシステムの概要で”Rログをマルウエアのハッシュ値で検索すること”で調査できると説明しています。
