下記の問題集を参考させていただいでおります。
午後(I・II)に集中!情報処理安全確保支援士精選17問
設問1
(1)ウ、エ
電源をオフにすると消去される情報は、RAMに展開されている情報です。
解答群の中でRAMに展開されるのはウとエです。
(2) a:プロキシサーバ
表1のプロキシサーバの項目に「社内から社外へWebサーバへのアクセスを中継する。」とあり、HTTP/HTTPSの通信はプロキシサーバを中継することがわかります。
今回の被疑サーバへの通信もHTTPSを利用していると問題文に記載があるためプロキシサーバにアクセスログが残るはずです。
b:DHCPサーバ
表3順序1より不審PCのMACアドレスを特定しています。
送信元IPとMACアドレスを紐づけてログとして残しているのはIPアドレスの割り振りを行ったDHCPサーバです。
設問2
(1) 被疑サーバのFQDN
マルウェアがサーバ証明書の検証を行っている可能性を考慮し、サーバ証明書を発行する問題です。
これは通信を許可する必要のある被疑サーバのFQDN(コモンネーム)を登録する必要があります。
本来サーバ証明書を申請する際もコモンネームにFQDNを記載し申請します。
サーバ証明書が発行され、誰かがそのサイトにアクセスする際、FQDNがサーバ証明書に登録されたコモンネームと比較し、合っているか確認されます。
(2) 中継サーバ1
発行した証明書とそれに対応する秘密鍵をどの機器に組み込むべきかという問題です。
問題文を確認すると通信は3つに分かれます。
・被疑PC-中継サーバ1・・・HTTPS通信
・中継サーバ1ー中継サーバ2・・・HTTP通信
・中継サーバ2-被疑サーバ2・・・HTTPS通信
3つに分ける理由は中継サーバ1,2間の間で行われている通信内容をキャプチャするためです。
そのため中継サーバ1でHTTPS通信を復号してあげる必要があり、復号のための秘密鍵が必要になるため
証明書及び秘密鍵を組み込むのは中継サーバ1です。
(3) 被疑サーバへのHTTPS接続要求を、中継サーバ1に到達するようにする
設問2(2)より、被疑PCが発したHTTPS通信は中継サーバ1側で1度終端する(被疑PC-中継サーバ1でセッションを張る)必要があります。
そのため、プロキシサーバ側で宛先IP:被疑サーバを宛先IP:中継サーバ1に変換してあげる必要があります。
設問3
(1) 実行中のプロセスの一覧から既知のデバッガのプロセス名を探す
起動しているプロセスの一覧を取得すれば、デバッガが動作しているかどうか判断することが可能です。
(2) 暗号カギを変えてパック処理すると暗号化済みのコード部が変化し、ウイルス定義ファイルに登録されていないファイルとなるから
パッカーが使われていると、マルウェア本体は暗号化されます。
そのあめ検知がしづらく、ウイルス定義ファイルでも検知できない可能性があります。
また、暗号化されたウイルスを定義ファイルに登録していたとしても、暗号鍵を変えてしまえば検知できなくなるため、ウィルススキャンでの検知が難しくなります。
設問4
(1) c:プロキシサーバのブラックリスト
被疑サーバへのHTTPSアクセスを禁止するため、何かに登録するという問題です。
社外Webサーバへのアクセスはプロキシサーバを経由する必要があり、プロキシサーバではホワイトリスト/ブラックリストによるアクセス制御を行っています。
この中で登録することでアクセスできなくするのはブラックリストです。
(2) d:脆弱性Kに対応した脆弱性修正プログラムを適用する
問題文に「社内PCのOSで以前発見された脆弱性(脆弱性K)をついて攻撃を仕掛けてくることが判明した。脆弱性Kは、2ヶ月ほど前に脆弱性修正プログラムと合わせて公開されており」とあるため、脆弱性修正プログラムを適用すれば良さそうです。
(3) e:パスワードの変更
パスワードはハッシュ値で保存されているため、平文より安全性は高いですが、時間を掛ければ総当たり攻撃で解読されてしまう可能性があります。
今回の問題でハッシュ関数に何が使われている表記はないですが、実際問題MD5,SHA-1は突破されています。
ハッシュ化されているから安全と考えるのは危険であり、ハッシュ化されていてもそのハッシュ値が漏洩してしまった場合はパスワードを変更することが推奨されます。
設問5
(1) PDF閲覧ソフトの脆弱性修正プログラムの適用状況
比較対象用PCと今日の勤務開始時点の被疑PCの状態の違いは何なのかという問題です。
Nページを開くとPDFがダウンロードされ、表示されます。これは比較対象用PCと被疑PCで動作は同じです。
しかしその後被疑PCでは不審なプロセス、検体αが生成されたにも関わらず、比較対象用PCではそれが再現されませんでした。
そのため閲覧に利用したPDF閲覧ソフトに違いがあると予想が付きます。
比較対象用PCは常に最新の脆弱性修正プログラム、ウイルス定義ファイルを持っています。しかし、被疑PCは3ヶ月ぶりに起動されたため最新の状態にはなっていません。
パッチ配信サーバではPDF閲覧ソフトの脆弱性修正プログラムも配信しているため適用してあげる必要があります。
(2) f:パッチ配信サーバ
比較対象用PCと被疑PCの状態を同一のものにするため、何かのログを確認する問題です。
設問5(1)でも解説している通り、PDF閲覧ソフトのパッチ適用状況を比較しています。
パッチ配信サーバでは各PCの脆弱性修正プログラム適用結果の情報も収集しているためそれを確認したと思います。
(3) PDF閲覧ソフトの脆弱性修正プログラムを適用する以前に、Q社のWebサイトを閲覧した場合
プロキシサーバとパッチ配信サーバのログを突き合わせし、どのような場合に感染の可能性があるのか答える問題です。
脆弱性修正プログラムが適用された後にマルウェアLの感染を心配する必要はないです。
しかし、修正プログラムが配信されるより前にQ社Webページを閲覧してしまった場合、感染している恐れがあります。
それを解答すればよさそうです。
設問6
(1) 被疑PCのHDDの複製作業
ディジタルフォレンジックスの観点から、今回のインシデント対応の中で見直す作業があり、それは何かという問題です。
ディジタルフォレンジックスはインシデント発生の原因究明のため、データ保全、収集、分析することです。
データ保全から見ると被疑PCのHDDの複製作業は初動対応の時点で行っておくべきです。
(2) 被疑PCの解析中に使用する代替PCの払い出し
PCがマルウェア感染した可能性がある場合ネットワークから切り離すことが推奨されます。
しかし、この問題はPCをネットワークから切り離した後のSさんについて焦点が当たっています。
被疑PCは解析室に隔離されてしまうため、SさんはPCが利用できず仕事ができなくなります。
そのため、予備PC等は確保しておく必要があります。
(3) g:PC起動時や所定の時刻などに特定のプログラムを自動的に起動する設定内容
解析チェックリストの項目に、比較対象用PCと比較するのは何か追加する問題です。
今回マルウェアLが定期的に実行されているにも関わらず検知が遅れてしまいました。
マルウェアLの特徴は「自身の処理を終えると自身のファイルの隠蔽処理を行うとともに、自身を所定の時間経過後に起動するための設定をOSに対して組み込み、終了する」です。
この中で実行時間の定期設定を比較対象用PCと比較してあげればその差異に気づくことが可能になります。
考え方
・プロキシサーバがあるといっても全ての通信がプロキシサーバを介するという証拠にはならない。
プロキシサーバ以外の経路がある場合問題文や注記に記載がある。
・SSL復号を行う装置では一度セッションを終端する形になるため、SSL復号とかがでたら宛先が変わるという意識を持っておく。
・ハッシュ化されているからといって必ずしも解読されないとは限らない。