やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > 情報処理安全確保支援士 > ワームによる事象の解析【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問2】

ワームによる事象の解析【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問2】

情報処理安全確保支援士 情報処理安全確保支援士-午後解説

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「ワームによる事象の解析」を取り上げた「情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問2」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問2

問2 セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200417031927p:plain

(略)

【セキュリティインシデントの発生】

 ある日、セキュリティ管理部のJ主任にNSM管理サーバからアラートメールが届いた。J主任は、部下のM君とともに調査を開始した。NSM管理サーバのダッシュボード画面を確認したところ、IDS機能のアラートは発生していなかったが、通信量が普段よりも2倍以上増えていたのでアラートメールが送られたことが分かった。そこで、NSM管理サーバを使って、通信量が増えている原因を調べることにした。まず、直近1時間のコネクション件数を表示してみた。表示内容を図2に示す。

f:id:aolaniengineer:20200417161400p:plain

 宛先ポート別の件数で、445/TCPのコネクション件数が普段と比べて非常に多かった。J主任は、セキュリティ機関から、ワームVに関する注意喚起を受け取っていたことを思い出した。ワームVに関する注意喚起を図3に示す。

f:id:aolaniengineer:20200417161819p:plain

①について、どのようなTCPフラグの組合せの応答か。8字以内で答えよ。:SYN+ACK

 図3に「445/TCPのポートをスキャン」「スキャンでは、各IPアドレスに1パケットずつ接続要求を送信する」とあり、ワームVはTCPのコネクション確立で行われる3ウェイハンドシェイクで接続要求していることが分かります。

 3ウェイハンドシェイクでは、正常にコネクション確立する場合のTCPフラグは以下のようになります。

  1. 接続元からSYNフラグを接続先に送信
  2. 接続先からSYN+ACKフラグを接続元に送信
  3. 接続元からACKフラグを接続先に送信

 したがって、ワームVはSYN+ACKフラグの応答があることを正常な応答と判断します。

 J主任はワームVが原因であると仮定して分析を進めた。送信元IPアドレス別の件数では、10.100.130.1の件数が普段と比較して非常に多かった。宛先IPアドレス別の件数では、ファイルサーバやWebサーバなどが件数の上位になっており、普段と比べて大きな違いはなかった。②ワームVが行うスキャンは、宛先IPアドレス別の件数の上位に登場していない。TCPステータス別の件数では、”SYNに対して応答なし”が多くなっているが、これはワームVのスキャンに対して、宛先IPアドレスから応答がないことを示していると考えた。ここまでの調査結果から、10.100.130.1のIPアドレスをもつ機器がワームVに感染している可能性があると判断し、ネットワークの停止をアナウンスして、L2SWで、10.100.130.1の機器がつながっている物理ポートをシャットダウンした。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】

②について、ワームVが行うスキャンの特徴を踏まえて、図3中の(a)および(b)のスキャンが宛先IPアドレス別の件数の上位に登場しない理由を、それぞれ25字以内で述べよ。:(a)パケットがNSMセンサの監視対象外であるため、(b)同一IPアドレスへのスキャン回数は少ないから

 ワームVが行うスキャンの特徴を踏まえてとあるので、図3を確認すると、「(a)のスキャンでは、IPアドレス範囲の最後までスキャンが完了した場合、5分間待機した後、IPアドレス範囲の先頭からスキャンを繰り返す。(b)のスキャンは、IPアドレス範囲の最後までスキャンが完了した場合、スキャンを終了する。」とあります。

 つまり、ワームVのスキャンでは、(a)の場合は宛先IPアドレスに対して、5分ごとに1回発生します。(b)の場合は宛先IPアドレスに対して、1回のみ発生します。

 図2は、直近1時間のコネクション件数を表示するもので、宛先IPアドレスに対しては(a)の場合で12回、(b)の場合で多くて1回となり、スキャン回数が少ないことが上位に登場してこない理由と考えて良さそうです。

 もう少し注意深く、深掘りしましょう。

 (a)は感染したPCと同一セグメントの範囲とあり、「10.100.130.1」が所属するセグメントは図1から「10.100.130.0/24」であることが分かります。

 ここで気付きたいのが、NSMセンサの位置です。NSMセンサはL3SWのミラーポートに接続されているので、L3SWを通過するパケットのみを監視対象とすることができます。

 これを踏まえて、(a)の同一セグメントへスキャンする場合の通信の流れは、L2SWが各機器のMACアドレスを学習していた場合は、L2SWを介した通信となり、L3SWへは到達しません。したがって、NSMセンサの監視対象外であることが分かります。

L2SWがMACアドレスを学習していない時のARPパケットやデフォルトゲートウェイ宛ての通信はL3SWに到達しますが、無視していいレベルでしょう。