こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和元年度 秋期 午後Ⅰ 問2を解説していきたいと思います!
※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。
下記より問題文と解答を引用しております。
問題
出典:令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問2
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_ans.pdf
では早速解説してまいります!
設問1
(1)プロキシ認証に失敗したから
解説
下線①のすぐ後の文章に注目すると、プロキシサーバのログに記録されていたとの記述があります。プロキシサーバのログとはプロキシサーバへのアクセスログなので、プロキシサーバへアクセスし、そこで遮断されたと推測できます。表2より、プロキシサーバの認証に失敗したことが分かります。
(2)a. (b)
解説
a のログに記録されるとあるので、まず、ログを記録する機能のある機器を表2から抽出すると、PC、FW、プロキシサーバ、(念の為、メールサーバ、認証サーバ)の5つです。
図3のD)を見るとDNSプロトコルによる通信に関するログなので、この時点で、プロキシサーバ、メールサーバ、認証サーバは違います。
また、表2のPCに関して、マルウェア対策ソフトによるスキャン結果は通信のログとは違います。また、図3にEDRではDNSプロトコルによる通信を記録しないとあるので、EDRによる記録結果にも記載されないことが分かります。
残ったのはFWですが、どんな通信でも外部ネットワークにでるときにはFWを通るのでこれが答えとなります。
(3)①・グローバルIPアドレスMへのHTTP通信成功のログ
②・パブリックDNSサービスLへのDNS通信成功のログ
解説
情報持ち出し成功時に残る、つまり攻撃者のもとへ情報が持ち出されたときに残る痕跡です。ISACから提供された情報を基にとあるので、図2を見てみましょう。
E)に攻撃グループXの情報持ち出しの流れが記述されています。持ち出すのはC&C通信を使用するとあります。また、その通信にはHTTPまたはDNSプロトコルを使用し、それぞれグローバルIPアドレスM、パブリックDNSサービスLを経由してC&Cサーバと通信することも書かれています。仮に情報が持ち出されていたとしたら、これらへの通信が成功しているログが存在するはずなので、答えのようになります。
(4)①・イ
②・ウ
解説
消去法で考えました。
他社がEDRなどを用いて感染端末を検出する際に有効であり、とあります。ここを意識して解答群を見ていきます。
ア 感染した日時情報ですが、今回はメールで配送されたファイルをクリックしたタイミングなので、特に参考にはなりません。
イ グローバルIPアドレスMを得ることで、同じIPアドレスへの通信が存在するか調査することができるので正しいです。
ウ フォルダNのパスも同じディレクトリにマルウェアが配置されていないか調査することができるので正しいです。
エ、カ 感染したPCのIPアドレスを得ても、そのPCと通信しているわけではないので、特に参考にはなりません。
オ、キ 図2の(あ)に、同じマルウェアでもファイル名は変更する、という旨の記述があります。そのため、ファイル名を共有されてもそれをもとに調査することはできません。
したがって、イ、ウが答えとなります。
設問2
(1)エ
解説
完全なる知識問題です。ソフトウェアのディジタル署名の検証に利用するのはコードサイニング証明書です。コードをサイニング(署名)するので名前からも推測できます。
(2)ウ
解説
まず表2より、プロキシサーバでは、利用者IDとパスワードによる認証を行なっている→利用者IDとパスワードを攻撃者に取得されたらアウトを念頭に入れつつ、選択肢を一つずつ見ていきます。
ア Webブラウザのオートコンプリート情報の窃取
× 自動入力できるように保存していた利用者IDとパスワードが盗まれるということなのでアウトです。
イ キーロガーによる攻撃
× キーロガーとはキーボード操作を記録するソフトウェアの総称です。キーロガーを利用して利用者IDとパスワードを取得できてしまいます。
ウ ゴールデンチケットの窃取
? ゴールデンチケットとは管理者になりすますチケットです。管理者になりすましたらプロキシ認証に使う情報が窃取できるのか…?と言う第一印象だったので、はてなとしておきます。
エ 総当たり攻撃
× 特に試行回数に制限を設けていない場合、総当たりで利用者IDとパスワードを試せてしまいます。
オ 偽のBASIC認証入力フォームの表示とそのフォームへの利用者の誘導
× フィッシングサイトのようなものです。利用者が気づかずにこのフォームにプロキシ認証の利用者IDとパスワードを入力した場合、攻撃者に取得されてしまいます。
カ ネットワーク盗聴
× 完全にアウトです。BASIC認証では認証情報が平文で送られるため、ネットワークを盗聴されると簡単に利用者IDとパスワードが取得できてしまいます。
ここまで見てきて、ウ以外は確実に×だったので、消去法でウにしました。
※ゴールデンチケットはWindowsの管理者になりすませますが、プロキシ認証に必要な情報を窃取することはできません。設定によっては、管理者権限を駆使して取得できる可能性もありますが特にそのような記述もなかったので大丈夫かと思います。
(3)項番 :3
送信元:DMZ
宛先 :インターネット
サービス:DNS
動作 :許可
解説
表3の項番2はマルウェアによるパブリックDNSサービスを利用した、C&C通信です。FWのルールを変更することで対策します。
マルウェアにDNS通信を行わないで欲しいので、表1のサービスがDNSである項番3が怪しそうです。見てみるとさっそく送信元が全てとなっていて、どの端末からでもDNSに関しては、インターネットと通信できてしまうことが分かります。インターネットとDNS通信をするのはDMZ上にあるサーバのみなので、送信元をDMZに絞れば、項番2の対策となりそうです。
なお、宛先、サービス、動作に関しては変更なしです。
(4)b. 権威DNSサーバ
c. 外部DNSサーバ
d. 再帰的クエリ
解説
今回の問題でマルウェアがC&Cサーバと通信を行うために使っていたのはHTTPもしくはDNSプロトコルで、大量の情報を持ち出す場合の特徴にDNSクエリの発生もあるので、DNSプロトコルにて行われるC&C通信であることが分かります。
DNSプロトコルで外部とやりとりする際の流れが図1の注1)に記載されています。外部DNSサーバは、DNSクエリを受けインターネット上の権威DNSサーバと通信、とあり、マルウェアはこれを利用しています。
上記より、インターネット上に用意しておくのは権威DNSサーバであることが分かります。
次に c ですが、その後の流れを整理すると、
(ⅰ)マルウェアから c に d を送信
(ⅱ)c が C&Cサーバ(権威DNSサーバ)に非 d を送信
となっています。(ⅱ)が先ほどの注1)の外部DNSサーバと権威DNSサーバの通信になるので、c には外部DNSサーバが入ります。
最後に d ですが、こちらは知識問題です。上記の流れの時、外部DNSサーバはキャッシュサーバと呼ばれます。一般にクライアント(ここではマルウェア)からキャッシュサーバ(ここでは外部DNSサーバ)への問い合わせは再帰的クエリ、キャッシュサーバから権威DNSサーバ(ここではC&Cサーバ)への問い合わせは非再帰的クエリと呼ばれます。したがって d は再帰的クエリが入ります。
(5)e. 特定のドメインに対する多数のDNSクエリの発生
解説
ここまで読み進めてきて、今回の攻撃の特徴は、マルウェアが情報を外部に送信するためC&Cサーバと通信することでした。大量の情報をC&Cサーバに持ち出すとき、どのようにして実行するかを考えます。
図2を参照すると、情報を持ち出す際は、摂取する情報を暗号化して一定のサイズに分割するとあるので、クエリを一定サイズに分割してC&Cサーバに送っていることが分かります。そのため、同ドメインに対して一定サイズに分割されたDNSクエリが大量に発生します。
正直難しいですが、大量の情報を持ち出すときの特徴を聞かれていて、情報の持ち出し時の挙動について書かれているのは上記の部分だけなので、そこがヒントになっていると推測します。
コメント