下記の問題集を参考させていただいでおります。
午後(I・II)に集中!情報処理安全確保支援士精選17問
設問1
(1) FWのログで当該通信の記録を確認する
何を確認してC&Cサーバとの通信が確かに発生していたのか確認する問題です。
ここが解答できれば設問1(2)のaも導き出せます。設問1(2)のaの答えはFWです。
通信の制御を行っているのはFWです。FWで通信の履歴を確認すれば実際に通信が行われていたかどうか確認できそうです。
私は「取得したログをすべてログ管理サーバへ送信する」と記載があったため「FWの通信記録をログ管理サーバで確認する」的な答えが正解かなと思ったのですが、図3の文章を見ると「(a:FW)のログから」とあるためFWのログを確認している様です。
また、他サイトの見てみるとログ管理サーバには大量のログが保存されているため直接FWのログを確認した方が効率的だという解説もありました。
(2) a:FW
aは設問1でも出てきましたが、NAPTを利用しているためインターネット側のポートはグローバルIPアドレスと何かしらのポート番号が設定されています。L社からインターネット向けに通信をする際の送信元はこのポートになります。
b:プロキシサーバ
表2FWのフィルタリングルールを確認すると、インターネット向け(HTTP)通信を許可されているのは項番4のプロキシサーバのみです。
c:MACアドレス
DHCPサーバのログから該当IPアドレスからC&Cサーバに通信を行っていたPCの特定を行えます。
DHCPのログにはIPアドレスを割り振ったPCのMACアドレスが紐づいて残っています。
設問2
(1) DNSによる名前解決ができず、TCP/IP接続要求が出ないから
マルウェアはプロキシサーバを経由せずFQDNを利用し、C&Cサーバへの接続を試みます。
ということは、プロキシサーバへのHTTP要求が行われず、外部DNSサーバへの問い合わせを行わないということです。
外部DNSによる名前解決ができないのであれば、後行えるのは内部DNSサーバでの名前解決要求です。
しかし、内部DNSサーバはL社ネットワーク上の名前解決しか行いません。
そのためC&CサーバのIPアドレスがわからず、そもそもFWに通信要求が行きません。
(2) プロキシサーバでC&Cサーバへの通信のURLをブラックリストに登録する。
初期対応でFWによる当該C&Cサーバへの通信遮断を行っています。
しかしM部長はC&Cサーバへの通信を完全に遮断できない可能性があると考えます。
おそらくこれはIPアドレスを変換すれば再度攻撃が行われたとき同様にC&Cサーバへの通信が可能になるからだと思います。
ここで表1の主なサーバとその概要にあるプロキシサーバを確認すると、ブラックリスト型のURLフィルタリング機能を持っていることがわかります。これを使ってC&CサーバのURLを登録すれば通信を遮断できそうです。
設問3
(1) ファイル配信サーバからマルウェアを拡散する攻撃
ファイルサーバはパッチの自動配信を行っているため、マルウェアに感染したファイル等がL社内に拡散される可能性があります。
(2) Vさんの利用者IDの無効化
3台のサーバは業務上停止できないサーバです。そのためすぐに行える対策としては今回感染していたVさんの利用者IDを無効化すれば対策として成り立ちそうです。
パッチを適用するのもアリかと考えましたが、WinUpdateとかは再起動が走るためNGですね。
(3) ログ管理サーバに保存されているログとの比較
各サーバでも直近3ヶ月のログは保存されていますが改ざんされている可能性もあります。
問題文を見るとログ管理サーバでも直近3ヶ月のログは保存されており、ポートもsyslog保存のポート以外閉じられているためリモートでのアクセスもできません。
このため、ログ管理サーバとのログを比較すれば改ざんされているかどうか確認できそうです。
考え方
設問3(2)はVさんの利用者IDの無効化でしたが、他にも方法はあるのでしょうか?
情報処理試験的にはこう言った回答方法を覚えておいた方が良い?
わかるかた教えていただけると幸いです。