※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) 表4中の下線①の挙動を特徴とするマルウェアの種類を記号で答えよ
答: エ
ア. アドウェアとは、広告の表示などデータの収集や収益を得るためのソフトウェアのことです。
利用者が広告をクリックすることで収益を上げたり、利用者の行動を追跡しデータを採取したりするものが一般的です。
サイバー攻撃ほどの危険性はありませんが利用者情報を許可なく収集する悪質なアドウェアもあります。
イ. 暗号資産型マルウェアとは、暗号資産型マルウェアに感染すると端末を第三者が遠隔操作し仮想通貨の採掘が行います。
他人の端末を使って行い暗号資産の利益を得ようとするマルウエアで、感染するとPCがリソースを消費し故障やトラブルが発生します。
ウ. トロイの木馬とは、通常のファイルに偽装して潜伏する悪意のあるソフトウェアです。
通常のファイルに偽装したファイルを被害者に実行させて端末に侵入し不正な動作を起こさせます。
エ. ファイルレスマルウェアとは、ディスクには痕跡を残さずメモリ内だけに常駐して攻撃を実行するマルウェアのことです。
オ. ランサムウェアとは、感染した端末のファイルを暗号化することにより端末を使用不能にするマルウェアの一種です。暗号化されたファイルを元に戻すことと引き換えに身代金を要求します。
下線①に”ディスクに展開されずメモリ内だけに展開される”とありますので「エ.ファイルレスマルウェア」が解答になります。
(2) 下線②について再現できなくなるのは攻撃者によって何が変更される場合か
答: C&CサーバのIPアドレス
4ページの表4で、検体αはC&Cサーバに接続しプログラムコードをダウンロードし、そのプログラムで”定期的にC&Cサーバに送信する”特徴があります。
検体αを再実行して動作を再現させる際にC&Cサーバに接続する必要がありますが、攻撃者の手によってその「C&CサーバのIPアドレス」が別のIPアドレスへ変更されてしまった場合は、C&Cサーバへの接続に失敗し動作を再現できなくなります。
よって解答は「C&CサーバのIPアドレス」になります。
(3) 下線③について、現在の解析環境との違いを答えよ
答: 仮想マシンではない実機環境を使う
4ページの表4、検体γの解析結果で”自身が仮想マシン上で動作していることを検知すると、システムコールを使用して自身のプログラムコード中の攻撃コードを削除”とあります。
現在の解析環境は2ページ表1の項番1のとおり仮想マシンで構築されているため、解析の際に検体γの攻撃コードが削除されてしまいます。
これ以上の解析をするためには「仮想マシンではない実機環境を使う」必要があります。
よって解答は「仮想マシンではない実機環境を使う」になります。
答: [a]ア [b]ウ [c]エ [d]イ
6ページの中段の説明に解析ファイルの転送は必ず検疫PCを経由するとあり、この転送手順にあてはめると7ページの図5の1.と2.で解析ファイルをOF機器を収集したあとに検疫PCに転送する必要があります。
よって3.の[a]には「ア.検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとOF機器との間の通信を許可する。解析ファイルをOF機器から検疫PCに転送する。」が入ります。
検疫PCに解析ファイルが転送されたあとはOF機器は使用しません。6ページの中段の説明にあるように、OF環境で実行するマルウェアが他の端末へ感染させる可能性があり、それを防ぐため検疫PCを除くOF機器をシャットダウンします。
よって4.の[b]には「ウ.検疫PCを除くOF機器をシャットダウンする。」が入ります。
続いて”検体の実行後、検疫PC以外のOF機器とファイルシェアサーバとは直接通信させない”ようにします。
ルータには内部モードと公開モードがあり、4ページの表3をみると内部モードは、OF機器とインターネット間の通信を禁止し、OF機器とファイルシェアサーバ間の通信を許可する設定になります。
表3の通信制御ルールでは検疫PCはOF機器として扱われ、検体PCがマルウエアに感染していなければ検疫PC(OF機器)は解析ファイルをファイルシェアサーバに転送する必要がありますので、ルータを内部モードに切り替えてファイルシェアサーバ宛ての通信を許可する必要があります。
よって6.の[c]には「エ.使用したOF環境内のルータを内部モードに切り替える。」が入ります。
最後に、検疫PCからファイルシェアサーバに転送するためPFWの変更も必要になりますので、7.の[d]には「イ.検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとファイルシェアサーバとの間の通信を許可する。解析ファイルを検疫PCからファイルシェアサーバに転送する。」が入ります。
(1) [e]に入れる適切な機能を表5の中から項番で答えよ
答: [e] 1
ARPプローブ(ARP Probe)は、ARP要求(ARPは宛先MACアドレス「FF:FF:FF:FF:FF:FF」のブロードキャスト)を送り、それに対して同一セグメント内のネットワーク機器は自身のIPアドレスとMACアドレスを応答します。
内容は表6のような内容となりますので、[e]に入る解答は「1」になります。
(2) [f]~[i]に入れる字句を記号で答えよ
答: [f]ア [g]イ [h]ウ [i]ウ
9ページの図6よりMACアドレスに紐付く機器は次のようになっています。
ア. XX-XX-XX-23-46-4a・・・標的PCのMACアドレス
イ. XX-XX-XX-f9-48-1b・・・DNSサーバのMACアドレス
ウ. XX-XX-XX-fb-44-25・・・X-PCのMACアドレス
エ. XX-XX-XX-ff-ff-ff・・・ブロードキャストアドレス
8ページの表5の説明の通りARPスプーフィング機能とは「標的の機器のIPアドレスを指定して実行すると、標的の機器がARP要求を出した際に正規のARP応答が戻ってくる前に自身のMACアドレスを含んだ不正なARP応答を送る」機能になります。
X-PCという遠隔操作可能なPCを用意しflagを入手する手がかりを得ることが目的になりますので、AツールのARPスプーフィング機能を実行するのはX-PCになり、”標準PC”がARP要求を出した際にX-PCが自身のMACアドレスを含んだ不正なARP応答を”標的PC”へ送り”標的PCのARPテーブル”の内容を書き換えます。
表7に入る解答ですが、X-PCのARPテーブルは正常な内容である図6を参考にします。
(f)について、192.168.15.51は標的PCのIPになりますので標的PCのMACアドレスの「ア.XX-XX-XX-23-46-4a」になります。
(g)について、192.168.15.98はDNSサーバのIPになりますのでDNSサーバのMACアドレスの「イ.XX-XX-XX-f9-48-1b」になります。
X-PCのARPテーブル
—————————————————-
| IPアドレス | MACアドレス |
—————————————————-
| 192.168.15.51 | (f) ア.XX-XX-XX-23-46-4a |
—————————————————-
| 192.168.15.98 | (g) イ.XX-XX-XX-f9-48-1b |
—————————————————-
次に標的PCのARPテーブルですが、標準PCがARP要求を出した際、X-PCが自身のMACアドレスを含んだ不正なARP応答を標的PCへ応答したため、IPアドレスに紐付くMACアドレスは不正に書き換えられておりX-PCのMACアドレスになっています。
(h)と(i)について、X-PCのMACアドレスの「ウ.XX-XX-XX-fb-44-25」が入ります。
標的PCのARPテーブル
—————————————————-
| IPアドレス | MACアドレス |
—————————————————-
| 192.168.15.50 | (h) ウ.XX-XX-XX-fb-44-25 |
—————————————————-
| 192.168.15.98 | (i) ウ.XX-XX-XX-fb-44-25 |
—————————————————-
(3) [j]~[o]に入れる字句を記号で答えよ
答: [j]ア [k]ウ [l]ウ [m]イ [n]ウ [o]ア
9ページの図6よりMACアドレスに紐付く機器は次のようになっています。
ア. XX-XX-XX-23-46-4a・・・標的PCのMACアドレス(IP:192.168.15.51)
イ. XX-XX-XX-f9-48-1b・・・DNSサーバのMACアドレス(IP:192.168.15.98)
ウ. XX-XX-XX-fb-44-25・・・X-PCのMACアドレス(IP:192.168.15.50)
エ. XX-XX-XX-ff-ff-ff・・・ブロードキャストアドレス
(j)と(k)について、これは標的PCがDNSサーバへ名前解決要求を出したときの通信と考えられます。
送信元IPアドレスの”192.168.15.51”は標的PCのIPで、(j)には標的PCのMACアドレスの「ア.XX-XX-XX-23-46-4a」が入ります。
また、名前解決要求を出したときの宛先はDNSサーバ宛になり、本来なら宛先MACアドレスはDNSサーバのXX-XX-XX-f9-48-1bとなるはずが、表8のとおり標準PCのARPテーブルはDNSサーバのIPに紐付くMACアドレスが”X-PCのMACアドレス”に書き換えられていますので、X-PC宛にDNS通信が送られます。br / > よって(k)には「ウ.XX-XX-XX-fb-44-25」が入ります。
(l)と(m)について、表8のとおり標準PCのARPテーブルは書き換えられており、これはX-PCが標的PCになりすましたARP応答を出したときの通信と考えられます。
送信元IPアドレスの”192.168.15.51”は標的PCのIPになりますが、これはX-PCが”標的の機器のIPアドレスを指定して実行した通信”になります。
よって(l)にはX-PCのMACアドレスの「ウ.XX-XX-XX-fb-44-25」が入ります。
また、X-PCがARP応答を出した宛先はDNSサーバになりますので、(m)にはDNSサーバのMACアドレスの「イ.XX-XX-XX-f9-48-1b」が入ります。
(n)と(o)について、これはX-PCがDNSサーバになりすました通信となります。
送信元IPアドレスの”192.168.15.98”はDNSサーバのIPになりますが、これはX-PCが”DNSサーバの機器のIPアドレスを指定して実行した通信”になります。
よって(n)にはX-PCのMACアドレスの「ウ.XX-XX-XX-fb-44-25」が入ります。
また、DNSサーバがARP応答を出した宛先は標的PCになりますので、(o)には標的PCのMACアドレスの「ア.XX-XX-XX-23-46-4a」が入ります。
(1) 下線④についてどのような処理か
答: ハッシュ関数を繰り返し適用する
ストレッチングとは、パスワードのハッシュ値を総当り攻撃などから推測されないようにするために、ハッシュ関数にかける処理を繰り返し行う手法のことです。
試行回数に制限をかけていない場合、総当たり攻撃で時間をかければもとの値を解読されてしまう可能性があります。
その対策としてストレッチングを用い、パスワードに対するハッシュ化を繰り返し実施することで推測を困難にします。
よって解答は「ハッシュ関数を繰り返し適用する」になります。
(2) 下線⑤についてどのような機能か
答: 5回連続してログインに失敗した利用者IDを10分間ロックする
ブルートフォース攻撃とは総当たり攻撃とも呼ばれ、力ずくで考えられるすべてのパターンの文字列を試行して不正ログインを成功させる攻撃となります。
この攻撃への対策としては、短時間で連続してログインに失敗した場合にアカウントロックを行う処理をおこないます。例えば「5回連続してログインに失敗した利用者IDを10分間ロックする」が挙げられます。
(3) [p]に入れる適切な攻撃を記号で答えよ
答: エ.レインボーテーブル
レインボーテーブルは、パスワードのハッシュ値から元のパスワードを割り出すために使うテーブルの一種です。 すべてのパスワード候補(文字列)に対するハッシュ値をあらかじめ計算して表にしたもので、ハッシュ値とパスワードを対応付けるためにハッシュ関数と還元関数で導き出した大規模なテーブルを生成して使う仕組みとなっています。
(4) 図8中の下線⑥はどのような文字列か
答: 数値nを5桁で0埋めしたものをAdminの後ろに連結させた数字
システム管理者のパスワードとしてn番目の候補となる文字列ですが、11ページの図7の3に記載のとおり、システム管理者のパスワードは”Admin[数字5桁]”となります。
よって解答は「数値nを5桁で0埋めしたものをAdminの後ろに連結させた数字」になります。
(1) 図9中の下線⑦についてどのような状態か
答: 異なるIPアドレスに同じMACアドレスが対応つけられた状態
MACアドレスとはネットワークにつなげることができるすべての機器に割り当てられている識別子のことです。
また、IPアドレスとはインターネットやネットワークで他の機器と通信するために必要となる識別子のことです。
基本的にMACアドレスも重複することはありません。
IPアドレスは任意で割り当てることも可能ですが、重複はトラブルの原因となり、こちらも設定ミスなど例外を除き重複することはありません。
そのため、もしARPテーブルで重複している場合は何らかの不正な通信が加わった不審な状態と考えられます。
よって解答は「異なるIPアドレスに同じMACアドレスが対応つけられた状態」になります。
(2) 図9中の[q]に入れる適切な改善提案を答えよ
答: [q] ログに出力する情報には認証情報を含めないこと
11ページ図7の整理した情報で、デバッグログに”ログインした利用者IDごとのセッション情報、H文字列を含む認証情報”が含まれているとあります。このログが盗聴された場合に、認証情報が読み取られて不正利用されてしまう可能性があります。
そのため「ログに出力する情報には認証情報を含めないこと」が解答になります。
答: ①メールフォルダ内のファイルが読み込まれた
②HTTPでファイルがアップロードされた
16ページに”マルウェアαは、起動すると、PC上のメールフォルダにある電子メールを読み出して、攻撃者が用意したWebサーバへアップロードする”とあります。つまりマルウェアαは電子メールを読み出すこと、Webサーバへファイルをアップロードすることの2つの特徴を検知できるルールを答えれば良いことになります。
よって①のファイル操作のイベントについては「メールフォルダ内のファイルが読み込まれた」、②のネットワーク動作については「HTTPでファイルがアップロードされた」になります。
(1) 本文中の[a]~[e]に入れる適切な字句を答えよ
答: [a] 15:03 [b]PC1 [c]file1.v [d]file2.v [e]PC2
表5の事象の内容の発生順序1~3を見ていきます。
まずUSBメモリには[c]というファイルが存在し、そのファイルにはマルウェアβという新種のマルウェアが潜んでおり、ファイル[c]が[b]のCドライブにコピーされ、[c]を開いて実行したところ、[d]というファイルが開かれてマルウェアβがマクロとして埋め込まれた後、直ちに上書き保存されたという流れが発生順序1~3で説明されています。
図4を時系列で見て、PC1、PC2、PC3のなかで最初にマルウェアが潜むUSBを装着し、USB(Eドライブ)にあるファイルをCドライブにコピーし、そのファイルを実行後、読み込みと書き込みの動作をしているのは「PC1」になります。また、ファイルは「file1.v」になります。
よって[a]にはPC1にUSBメモリが装着された時刻の「15:03」が入り、[b]には「PC1」が入ります。
続いて「PC1」欄を見るとUSBメモリ装着後、USBメモリが割り当てられたEドライブからCドライブに「file1.v」をコピーしていることが分かりますので[c]は「file1.v」になります。
続いて[c]と[d]についてです。
USBメモリを取り出したあとにV-開始(Vソフトのプロセス開始)が行われ「file1.v」を読み込んだあとに「file2.v」を読み込み直ちに内容を上書きしていますので、[d]は「file2.v」が入ります。
続いて、PC1の次に感染したPCを考えます。「PC2」は13:16にfile3.vをコピーし、USBメモリを取り出したあとにV-開始(Vソフトのプロセス開始)が行われfile3.vを読み込んだあとに「file2.v」を読み込み直ちに内容を上書きしていますので、発生順序4で「file2.v」を開いて実行し感染したのは「PC2」になります。よって[e]には「PC2」が入ります。
(2) 下線③についてPC1~PC3の内臓SSD及びファイルサーバから削除すべきファイルは何か記号で答えよ
答: ア、ウ、エ、オ、キ
まず、USBからコピーをしたファイルである「ア.PC1のC:\file1.v」、「ウ.PC2のC:\file3.v」、「オ.PC3のC:\file4.v」が削除すべきファイルになります。
また、これらを実行したときマルウェアβが起動し、その後に上書きされるファイルはN:\file2.vになりますので「キ.共有フォルダ内のfile2.v」も削除の対象になります。
最後にPC2でC:\file3.vを実行後にN:\file2.vの内容をC:\file6.vに書き込み、C:\file6.vはC:\file8.vに同内容を書き込んでいるので「エ.PC2のC:\file8.v」も対象になります。
答: Vソフトのデータファイルが読み込まれた後に1分以内にパス名が同一のファイルが上書きされた
設問2(1)の解説でも記載したとおり、マルウェアβが起動するとV-開始(Vソフトのプロセス開始)後に、あるファイルを読み込み、すぐさまパス名が同一のファイルに対してと書き込み動作が行う特徴があります。よって解答となる検知ルールは「Vソフトのデータファイルが読み込まれた後に1分以内にパス名が同一のファイルが上書きされた」になります。
(1) 表6中の[f]、[g]に入れる適切なログの項目名を答えよ
答: [f]添付ファイルの名称 [g]添付ファイルのサイズ
23ページの表6で”従業員が攻撃者にだまされた結果、ファイルNを攻撃者のメールアドレスに送信し”とあり、ファイルNを送信したかどうかを洗い出すために、メールサーバのログから何が一致したものをファイルNと判断できそうかを考えます。
また、15ページ表1で、メールサーバのログに記録される内容は”イベント発生日時、送受信メールの送信元メールアドレス、送受信メールの宛先メールアドレス、メール全体のサイズ、添付ファイルの名称、添付ファイルのサイズ”と説明があります。発生日時は、いつそれが起こったかを特定でき、メールアドレスは誰がどこ宛てに送ったか特定できますが、ファイルNを送ったかどうかはこれらの情報からではわかりません。また、メールの全体サイズは本文などの全体の情報量により決まりますので、メールの全体サイズからではファイルNが添付されているかどうかを判断はできません。
残る「添付ファイルの名称」、「添付ファイルのサイズ」の2つは、ファイルNと比較して同じ名称、同じサイズであれば可能性として高くなり、洗い出しに有用な情報といえます。よって解答は[f] 、[g]は「添付ファイルの名称」「添付ファイルのサイズ」(順不同)になります。
(2) 表6中の[h]に入れる適切な字句を答えよ
答: [h]サイズ
23ページの表6で”従業員が攻撃者にだまされた結果、又は意図的に、HTTPで攻撃者のサーバにファイルNをアップロートし”とあります。
また、15ページ表1で、プロキシサーバのログにはアップロードされたファイルのサイズが記録されることがわかります。このサイズとファイルNの「サイズ」と一致しているかどうかで洗い出すことができます。
(3) 表6中の[i]、[j]に入れる適切なログの項目名を答えよ
答: [i]アップロードされたファイルのサイズ [j]アクセス先のURL
[i]には「アップロードされたファイルのサイズ」が入ります。
設問4 (2)の解説で記載したとおり、15ページ表1で、プロキシサーバのログにはアップロードされたファイルのサイズが記録されることがわかります。この「アップロードされたファイルのサイズ」とファイルNのサイズが一致しているかどうかで洗い出すことができます。
ファイルNの「サイズ」と一致しているかどうかで洗い出すことができます。
[j]には「アクセス先のURL」が入ります。
プロキシサーバのログで、アップロードされたファイルのサイズがファイルNのサイズと一致している通信が見つかり洗い出した場合、通常業務などで必要なファイルが偶然ファイルNとファイルサイズ担った可能性もあります。
そこでプロキシサーバのログからその通信の「アクセス先のURL」を確認し、信頼できるサイトかどうかを確認します。
このときに信頼できないサイトとなれば不正アクセスの可能性が高まります。
(4) 表6中の[k]~[m]に入れる適切なログの項目名を答えよ
答: [k]ファイル圧縮 [l]ファイル名 [m]ファイルサイズ
[k]には「ファイル圧縮」が入ります。
詳細調査Bへのルートへ進むことができるファイルの条件が解答になります。
詳細調査Bへのルートへ進むには、図7の最初の分岐で”USBメモリへのファイル名又はファイルサイズがファイルNと一致するファイルの書込み記録を洗い出す”で”記録がなし”ということで、ファイルNと異なるサイズのファイルがUSBメモリへ書き込まれていることになります。
しかし、次の分岐でファイルの読出し時にはファイルサイズがファイルNと一致しているという記録があります。
つまり読出し時には同じファイルサイズだったが書込み時には異なるファイルサイズになったという状況になり「ファイル圧縮」操作をしたと考えることができます。
「ファイル圧縮」操作により「ファイル名」および「ファイルサイズ」は変わりますので、[l]に「ファイル名」、[m]に「ファイルサイズ」(順不同)が入ります。
答: 情報システム課が管理するUSB-IDのいずれにも一致しないUSB-IDのUSBメモリが装着された
外部媒体記憶によるファイル持ち出しを製品Cで検知するルールが解答となります。
25ページ図8の規定案で”外部記憶媒体は情報システム課が調達するUSBメモリに限定する。調達したUSBメモリのUSB-IDは情報システム課が管理する”とあります。
この規定案に違反する操作を検知すればよいため、情報システム課が管理するUSB-IDではないUSBメモリの装着された場合に検知可能なルールを作成します。
17ページの表3のUSBメモリ操作の説明より、製品CではUSBメモリの装着、取り外し、USB-IDをイベントの情報として検知ルールに組み込むことができますので、作成する検知ルールは「情報システム課が管理するUSB-IDのいずれにも一致しないUSB-IDのUSBメモリが装着された」になります。
答: [n]社外向けの通報窓口を設置する
[o]最初の判定に加え、影響の大きさ又は影響の広がりについての事実が見つかるたびに再判定を行う
[n]には「社外向けの通報窓口を設置する」が入ります。
26ページ表7の項番1で”IRTでの通報受付を早めるために、通報窓口を見直す”とあります。
いままでのインシデント対応にて整備したIRT体制では、21ページの中段に記載があるように、”社内からの通報専用のメールアドレス”、つまり社内でしか使用することができない窓口しかなかったことがわかります。
問題が発生した場合に従業員は、その社内からの通報専用のメールアドレス宛にメールを送ることになりますが、22ページの下段より”メールを見た通報窓口の委員はIRT全員を招集しようとしたが日程調整に難航”とあるように通報受付が遅かったことにより全体的な遅れたと考えられます。この問題を解消する方法として「社外向けの通報窓口を設置する」ことで通報受付を早めることができると考えられます。
よって[n]の解答は「社外向けの通報窓口を設置する」になります。
[o]には「最初の判定に加え、影響の大きさ又は影響の広がりについての事実が見つかるたびに再判定を行う」が入ります。
26ページ表7の項番4で”体制の取り方を見直すために、レベルの判定のタイミングを見直す”とあります。
いままでのインシデント対応にて整備したレベルの判定では22ページに図6”被害状況からレベルを判定する”と記載があるように最初の判定のみでレベルを判断していました。
しかし、23ページに記載のとおり調査を進めるにつれて情報が増え、影響の大きさ又は影響の広がりによってレベルが変化する可能性を考慮する必要があります。そして、その再判定したレベルに応じて対応に必要な体制を新たに整えます。
よって解答は「最初の判定に加え、影響の大きさ又は影響の広がりについての事実が見つかるたびに再判定を行う」になります。