やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > 情報処理安全確保支援士 > C&Cサーバ通信履歴、ハッシュ値検索によるマルウェア感染確認【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問3】

C&Cサーバ通信履歴、ハッシュ値検索によるマルウェア感染確認【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問3】

情報処理安全確保支援士 情報処理安全確保支援士-午後解説

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「C&Cサーバ通信履歴、ハッシュ値検索によるマルウェア感染確認」を取り上げた「情報処理安全確保支援士試験 令和元年度 秋期 午後1問3設問3」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問3

問3 標的型攻撃への対応に関する次の記述を読んで、設問1〜3に答えよ。

(略)

f:id:aolaniengineer:20200606081314p:plain

f:id:aolaniengineer:20200606081352p:plain

(略)

f:id:aolaniengineer:20200606082443p:plain

(略)

【インシデント対応手順の改善

 報告書を読んだE部長は、他社での標的型攻撃への対応事例と比較すると、対応が不十分であると考えた。次は、E部長とGさんの会話である。

 

E部長:ほかにもマルウェアMに感染したPC又はサーバがある場合を想定する必要があるのではないか。

Gさん:13:27以降、Pサービスから新たな通知は来ていません。感染したのは、L-PCだけと考えてよいのではないでしょうか。

E部長:13:17:15より前の、ログ蓄積サーバ中のFWのログに(e:IPアドレスw1.x1.y1.z1との通信履歴)が含まれているかどうかを確認する必要がある。

e:IPアドレスw1.x1.y1.z1との通信履歴

 13:17:15とは、表2(Gさんによるインシデント対応の記録(抜粋))の時刻13:27にある「C&Cサーバへの接続日時 20XX年10月8日13:17:15」のことですね。

 そして、この内容はあくまでもPサービスがJ社内からC&Cサーバ(w1.x1.y1.z1)への通信を検知したというものです。

 もしかしたら、PサービスがC&Cサーバ(w1.x1.y1.z1)を監視対象にする前や、J社がPサービスを利用する前の時期にすでに発生しているかもしれません。

 そのため、ログ蓄積サーバ中のFWのログで、C&CサーバのIPアドレス:w1.x1.y1.z1宛ての通信履歴を確認し、遡って確認することが必要です。

Gさん:分かりました。早速確認します。

E部長:ただし、①PC又はサーバの状態によっては、FWのログを使った確認ではマルウェアMに感染していることを検知できないことがあるので、②Rログを使った確認もする必要がある。

Gさん:分かりました。

①について、検知できないのはPC又はサーバがどういう状態にある場合か。40字以内で述べよ。:感染したが、C&Cサーバと通信する前にネットワークから切り離された状態

 マルウェアMに感染するとC&Cサーバと通信する事象が発生することが分かっていますが、どのタイミングでC&Cサーバとの通信を行うかは不明ですよね。

 感染しても、C&Cサーバと通信する前に電源停止していたり、ネットワークから切断されていたりする場合も考えられます。

 このような場合には、FWのログでの確認でマルウェア感染を検知できないことになります。

②について、マルウェアMに感染しているPC又はサーバをRログを使って検知する方法を、30字以内で具体的に述べよ。:RログをマルウェアMのハッシュ値で検索する。

 Rログについて確認しましょう。

 表1(J社情報システムの構成要素(抜粋))のRシステムに、「エージェントプログラムは、PC及び業務サーバに導入している。全てのプロセスの生成から終了までの動作、実行したプログラムのハッシュ値並びに通信の宛先のIPアドレス及びポートを、Rログとして取得し、ログ蓄積サーバにsyslogとで送信する。(略)情シ部員は、Rログをマルウェアのハッシュ値で検索することによって、そのマルウェアが実行された痕跡があるかどうか調査することができる。」とあります。

 したがって、マルウェアMのハッシュ値でRログを検索すれば、マルウェアMが実行されたかどうかは分かりそうです。

 マルウェアMに感染していることと、マルウェアMが実行されたことが必ずしもイコールではないかもしれませんが、前問でのFWのログで検知できない状況より、一歩進んで感染状態を把握することはできそうです。

 Gさんは、ログを確認し、感染したPC又はサーバは、ほかに発見されなかったという結果をE部長に報告した。E部長は、マルウェアに感染したPC又はサーバを特定するためのログの調査手順を、インシデント対応手順に追加するようGさんに指示した。これによって、J社ではインシデント対応手順を更に改善することができた。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1問3】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf