情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「インシデントのタイムライン作成」を取り上げた「情報処理安全確保支援士試験 平成30年度 秋期 午後2問2 設問4」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問4

問2　セキュリティインシデントへの対応に関する次の記述を読んで、設問1〜5に答えよ。

（略）

（略）

（略）

（略）

　Cさんは、Dさんが利用している機器について、フォレンジックツールを用いて、ファイルAのファイルサイズとハッシュ値をキーにしてファイルを検索した。その結果、PC-Aにおいて、9月8日3時35分に、ファイル名は異なっていたものの、ファイルAと同じ内容のファイルが作成されていたことが分かった。また、プロキシサーバのログから、当該ファイルが社外に送信された可能性があることが分かった。

（略）

【インシデントQのタイムラインと措置】

　G部長は、調査結果の確認及び対応措置の検討についてF氏の支援を受けるようCさんに指示した。F氏の支援を受けてCさんが作成したインシデントQのタイムラインを表2に示す。

ア：9/4 14:31

　タイムラインNo.1の事象「Dさんは、PC-AのWebブラウザで社外のサイトにアクセスし、ファイルWを格納したZIP形式のファイルをダウンロード」についてです。

　この事象は、図7（調査結果）のDさんへのヒアリング情報にある「Dさんは、9月4日午後にPC-AのWebブラウザを用いてインターネットで挨拶文例を検索し、見つけたZIP形式のファイル”samplebun.zip”をダウンロードした。Dさんは、このファイルを展開した上で、中にあったファイルWをダブルクリックし参考にした。」に該当します。

　そして、図6（プロキシサーバのログ）から該当する部分を探すと、4行目の以下のログが該当します。

4: [04/Sep/2018 14:31:15 +9000]"Get http://yyyy/dl/samplebun.zip HTTP/1.1" 200 89331

 "http://zzzz/2018/ne/bunrei.html" "▲▲"

m：マルウェアL、n：サイトM 

　まず、タイムラインNo.2の事象「ファイルWを取り出した上で、これをダブルクリックし、（m）を実行」について確認します。

　ファイルWについては、表1（ファイルについての情報）に「ダウンローダの機能をもつマルウェアLである。サイトMからプログラムをダウンロードし、実行する。また、これらの処理と並行して文書作成ソフトを起動し、特定の文書を表示する。」とあります。

　したがって、タイムラインNo.3の事象「マルウェアLは、サイトMにアクセスし、”new3.exe”をダウンロード」となります。

o：マルウェアK

　タイムラインNo.4の事象「マルウェアLは（o）を実行」についてです。

　No.3でダウンロードした”new3.exe”について、表1（ファイルについての情報）に「遠隔操作の機能をもつマルウェアKである。実行されると、IPnのサイトにアクセスして、そのレスポンスに従って動作する。また、指定されたファイルを、HTTPのPOSTメソッドを用いてIPnのサイトに送信する機能をもつ。」とあります。

イ：9/4 14:37、p：遠隔操作

　タイムラインNo.5の事象「マルウェアKは、IPnのサイトとの頻繁な通信を開始　攻撃者による（p）が始まったと推測」についてです。

　図6（プロキシサーバのログ）からIPnとの通信が最初に登場するのは、8行目の以下のログです。

8: [04/Sep/2018 14:37:06 +9000]"Get http://IPn/news.php HTTP/1.1" 200 5429 "-" "▽▽"

　また、この通信以降、マルウェアKにより、攻撃者による遠隔操作が始まったと推測できます。

ウ：9/5 10:41

　タイムラインNo.6の事象「攻撃者はPC-Bへのログインの試行を開始」の時刻「9/5 10:35」は、表9（Lastbコマンドの実行結果（ログイン失敗））の内容と一致します。

　そして、タイムラインNo.7の事象「攻撃者はPC-Bへのログインに初成功」の時刻を表8（Lastコマンドの実行結果（ログイン履歴））で確認すると、「9/5 10:41」となります。

q：ファイルA、r：PC-B

　タイムラインNo.8の事象「（〜9/7 4:15）攻撃者は、漏えいが疑われるファイルのコピーと（q）を、（r）のローカルディスクに作成」についてです。

　この事象は、図7（調査結果）のPC-Bについてにある以下が該当します。

・PC-Bのディレクトリ”/tmp/20xx/”に次のファイルが置かれていた。

　・新製品αの設計資料

　・文書Yを含む新製品αの操作説明書の草稿

　・そのほかのファイル

　・上記のファイルを格納したアーカイブファイル（以下、ファイルAという）

ファイルAの所有者はDさんであり、作成日時は9月7日4時15分であった。

s：PC-A

　タイムラインNo.9の事象「（9/8 3:35）攻撃者は、ファイルAと同じ内容のファイルを（s）のローカルディスクに作成」についてです。

　関連する内容が問題文に「PC-Aにおいて、9月8日3時35分に、ファイル名は異なっていたものの、ファイルAと同じ内容のファイルが作成されていたことが分かった」とあります。

　そして、タイムラインNo.10の事象「No.9で作成されたファイルがIPnのサイトに送信された可能性」に続きます。

　また、F氏による追加調査の結果、社内の文書Zが、9月22日までの間に、攻撃者によって社外に送信されていたことが確認された。文書Zは、それまでに漏えいしたものとは別の新製品βの設計書である。

　Cさんは、F氏の支援を受け、インシデントの封じ込め、根絶及び復旧のための措置を検討した。マルウェアLとマルウェアKについては、Y社から、これらを検知するためのマルウェア定義ファイルの提供を受け、全てのサーバ及びPCに適用することにした。Cさんは、そのほか必要と思われる措置をまとめて、G部長に提案した。G部長は、Cさんの提案を承認し、承認された措置が実施された。

【出典：情報処理安全確保支援士試験 平成30年度 秋期 午後2問2（一部、加工あり）】