スクリプトの特徴による攻撃拡散有無の調査【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問4】
情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。
キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。
今回は、「スクリプトの特徴による攻撃拡散有無の調査」を取り上げた「情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問4」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問4
問3 ソフトウェアの脆弱性対策に関する次の記述を読んで、設問1〜5に答えよ。
(略)
(略)
FW1はステートフルパケットインスペクション型で、インターネットと通販システム間の通信は、インターネットからEサーバ及び待機サーバへのHTTPSアクセスとその応答が許可されている。そのほかのインターネットとDMZ内のサーバ間の通信は、各サーバのサービスに必要なものだけ許可している。
プロキシサーバ が中継するのはPCセグメントからインターネットへの通信だけである。
(略)
脆弱性Tの情報をS君が発見してから2日後、Eサーバの日次バッチ処理が異常終了するという事象が発生した。S君が確認したところ、日次バッチプログラムの内容が、見覚えのないスクリプト(以下、スクリプトUという)に書き換えられていた。スクリプトUは、B社と関係のないサイトZからプログラムをダウンロードして起動したり、コマンド履歴を参照したりするなどの内容であった。
(略)
【インシデントの調査】
依頼を受けたセキュリティ専門会社は、インシデントを調査し、3日後に調査結果をB社に報告した。セキュリティ専門会社による調査結果を図3に示す。
③について、コマンド履歴にSSHコマンドの接続先IPアドレスが含まれていた場合、スクリプトUの内容を考慮すると更に調査が必要となる。仮に接続先IPアドレスとして外部メールサーバが履歴に含まれていた場合、どの機器のログで、何を調査すべきか。調査すべき機器の名称を図1中から選び答えよ。また、調査すべき内容を30字以内で、具体的に述べよ。:①外部メールサーバ又はログ管理サーバ/外部メールサーバからサイトZへの接続の有無を確認する。②Eサーバ又はログ管理サーバ/外部メールサーバへのSSHコマンドの接続の有無を確認する。③FW1又はログ管理サーバ/サイトZとHTTPを使用した通信を確認する。
スクリプトUの内容は図3から以下のとおりで、それぞれどの機器のログで確認できるでしょうか。
- API、及びAPIを動作させるのに必要な複数のライブラリをサイトZからHTTPを使ってダウンロード
- APIを実行
- (コマンド履歴からSSHコマンドの接続先IPアドレスが抽出された場合)SSHコマンドで接続を試行
まず、1項については、Eサーバと外部メールサーバ、及び、FW1で、サイトZへの接続の有無を確認すれば良さそうです。
ただし、EサーバはFW1で「インターネットからEサーバ及び待機サーバへのHTTPSアクセスとその応答が許可されている」とあり、そもそもサイトZへの接続ができません。
また、全サーバのログはログ管理サーバでも保存されているので、こちらでも確認できそうです。
次に、2項については、表1に「各サーバのログには、OS上で実行されるSSHなどのコマンド履歴、アプリケーションやミドルウェアのイベント記録がある」とありますが、API実行がログに記録されているかは不明です。
3項については、Eサーバ及びログ管理サーバで、外部メールサーバへのSSHコマンドの接続の有無を確認すれば良さそうです。
重大な被害は認められなかったものの、脆弱性Tが悪用されて改ざんが行われていたことが明らかになったことから、パッチを適用することにした。パッチを適用し、サービスを再稼働できたのは、インシデント発生から10日後だった。
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】