やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問6【インシデント対応の事後評価】

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「インシデント対応の事後評価」を取り上げた「平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問6」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成29年度 春期 情報処理安全確保支援士試験 午後2 問1 設問6

(略)

f:id:aolaniengineer:20200216154425p:plain

 午後1時、不審PCを回収して解析室に設置した後、M君は初期判定を開始した。初期判定は図3に示すIS部のマルウェア初期判定ガイドラインに従って実施した。

f:id:aolaniengineer:20200216154450p:plain

(略)

 M君が解析室に戻り、図3中の解析チェックリストの(4)についてファイルの差異を解析したところ、不審なファイルを発見した。

(略)

 被疑PCが(ⅱ)と(ⅳ)の通信を行っている最中に、動いているプロセスをM君が調査したところ、マルウェアと思われるプロセスを発見した。発見したプロセスは、一通りの処理を終えると自身のファイルの隠蔽処理を行うとともに、自身を所定の時間経過後に起動するための設定をOSに対して組み込み、終了することが判明した。

(略)

 マルウェアのおおよその動きが判明したので、被害の有無を確認するために、被疑サーバにアクセスしている内容を確認すべく、M君は詳細解析環境を図5のように変更した。また、次の三つを行った。

解析作業による被疑PCの状態変化を考慮し、被疑PCの状態を保存するために、被疑PCのHDDの複製を作成した

(略)

〔インシデント対応の事後評価〕

 V課長は、今回のインシデント対応を振り返り、1日以内に全ての対応を完了したこと、マルウェアLに感染したPCも1台だけであり、拡大を防げたことから、対応は成功したと考えた。

 後日、V課長は、今回のインシデント対応に当たったメンバを召集し、事後評価を実施した。その結果、⑥ディジタルフォレンジックスという観点から、実施するタイミングを見直す必要がある作業があること、⑦被疑PCの利用者の業務継続を考慮して対応する必要があることが課題として挙げられた。さらに、今回のマルウェアLの場合、図3中の解析チェックリストではマルウェア感染を発見できない場合があるので、解析チェックリストの項目に、”(g:PC起動時や所定の時刻などに特定のプログラムを自動的に起動する設定内容)を比較対照用PCと突き合わせると、差異が存在する”という項目を追加する必要があるとの結論に至った。

⑥について、実施するタイミングを見直す必要がある作業とは?:被疑PCのHDDの複製作業

 ディジタルフォレンジックスとは、犯罪捜査や法的紛争などにおいて、コンピュータなどの電子機器に記録されている情報を収集、保管、分析し、その証拠性を明らかにする手段や技術の総称です。

 証拠保全の観点から、情報の収集、保管はインシデントの初動対応の時点で実施すべき事項です。

 今回、ディジタルフォレンジックスの対象となるのは、被疑PCのマルウェア感染の対象となるHDDであり、その複製を行うことは初動対応で実施すべきことです。

 今回のインシデント対応の一連の流れは、以下のようになっていました。

  1. 不審な通信を行っている不審PCの特定
  2. 解析室内でマルウェア感染の可能性についての初期判定
  3. 不審PCがマルウェア感染の疑いがあるとして被疑PCと判定
  4. 被疑PCでのマルウェアの詳細解析
  5. 詳細解析環境の変更による被害有無の確認
  6. デバッガによる解析
  7. 応急措置
  8. 感染経路の特定と対処
  9. インシデント対応の事後評価

 ここで、被疑PCのHDDの複製は5項で実施しており、1項や2項で実施すべき作業です。

⑦について、どのような対応をすべきか?:被疑PCの解析中に使用する代替PCの払出し

 「被疑PCの利用者の業務継続を考慮して」とあり、利用者の業務面でどのような影響があるでしょうか。

 被疑PCはネットワークから切り離された状態であり、当然ですが、調査中は利用者が操作することができません。これだと、利用者の業務遂行が滞ってしまいます。

 そこで、対応としては代替PCにより業務できるようにすることが必要です。

g: PC起動時や所定の時刻などに特定のプログラムを自動的に起動する設定内容

 今回のマルウェアによるプロセスは、「一通りの処理を終えると自身のファイルの隠蔽処理を行うとともに、自身を所定の時間経過後に起動するための設定をOSに対して組み込み、終了することが判明した」というものでした。

 したがって、この設定内容を比較対照用PCと比較することで、マルウェア感染を発見できるようにします。

 その後、Q社からWebサイトの改ざんの原因の判明と復旧の連絡が届いたので、内容を確認後、Q社Webサイトへのアクセス遮断を解除した。

【出典:情報処理安全確保支援士試験 平成29年度春期午後2問1(一部、加工あり)】