情報処理安全確保支援士2018年(平成30年)秋午後1問2(4,707 文字)

問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです
そして面倒なので本文下のページ表記はやめますあんまり意味ないし

本文(設問1,2,3,4)

本文要約(設問1,2,3,4)

残念ながら切るところがないので全文です(問3はめっちゃ切れるのに…)
[前提]
① G社は製造業者で本社と4つの工場がある。工場には無線LANアクセスポイント(AP)がある。本社と工場はL3SWとネットワークセキュリティモニタリング(NSM)のセンサがある。NSMセンサはシグネチャ型IDS機能とネットワークフロー情報(NF情報)を記録する。
② NF情報は流れている全パケットのヘッダ情報を三種押してコネクション開始日時、送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、プロトコル、コネクションステータス、コネクション時間、送信バイト数、受信バイト数をコネクション単位でレコード化したもの。
③ L3SWはスイッチの特定の物リポートを流れるパケットをミラーパケットにミラーリングする機能があり、ネットワーク障害時にパケット取得ができる。L3SWにはFWに接続している1Gbps(Gbit/s)の物理ポートを流れるインアウトのパケットをNSMセンサに接続している10Gbpsのミラーポートにミラーリングしている。
④ ミラーポートを流れる通信量は全二重1Gbpsの1ポートの送受信をミラーリングすると最大[a]bpsになる。
⑤ L3SWとL2SWはVLANをサポートしている機器だが、G社では使用していない。VLAN設定をするならL3SWではIEEE 802.1Qの[b]を付与した状態でのミラーリングができるので障害が発生しているVLANを識別できる。
⑥ また、ミラーポートを使用せずにパケット取得をする方法としてネットワーク[c]を使用する方法がある。
[セキュリティインシデント発生]
① NSM管理サーバからのアラートを受けて調査するとIDS機能のアラートは発生していないものの、通信量が普段より2倍以上増えていたことがことがわかったので、NSM管理サーバから通信量増大の原因を調べた。
② 宛先ポート別では445/TCPのコネクション件数が普段より非常に多く、ワームVの関与が疑われた。
③ ワームVはWindowsの脆弱性を悪用し、ファイル共有に用いる445/TCPポート経由で感染を広げるもの。(a)感染したPCと同一セグメント範囲 (b)1.1.1.1～255.255.255.255の範囲の2種類のIPアドレスに対して正常な応答があれば、脆弱性を悪用して感染を広げる。スキャン時は各IPアドレスに1パケットずつ接続要求を行う。(a)は範囲の最後までスキャンしたら5分後に再びスキャンすることを繰り返す。(b)は範囲の最後までスキャンしたら終了する。
④ 送信元IPアドレス別では10.100.130.1の件数が普段より非常に多かった。
⑤ 宛先IPアドレス別では普段通りだった。ワームVが行うスキャンは宛先IPアドレス別の件数の上位には登場していない。
⑥ TCPステータス別ではSYNに対して応答なしが多く、これはワームVのスキャンに対して宛先IPアドレスから応答がないことを示していると考えられる。
⑦ 以上より10.100.130.1の機器がワームVに感染しているとしてネットワークの停止、L2SWで10.100.130.1の機器がつながっている物理ポートをシャットダウンした。
[無線LANセグメント調査]
① 10.100.130.1はルータとして動作しているAPのIPアドレスだった。APではNAPTでIPアドレスを変換してPCと接続しているため、APに接続しているPCがワームVに感染していると考えられる。IPアドレスの設定を行うDHCPサーバログを見ることにする。
② DHCPサーバ機能ではIPアドレスのリース期間が1時間となっており、プールしているIPアドレス範囲から適宜リースする。宛先IPアドレスがG社のものではなく宛先が445/TCPのもの(表1)、10/28のAPのDHCPサーバログ(表2)から、445/TCPのポートスキャンを行うPCを特定した。
[再発防止]
① 6台のPCが[d]リクエストをブロードキャストで送信、同一セグメント内のPCを探索していることが確認できた。
② セキュリティ機関からワームVのインディケータ情報が[e]形式で提供されていたので、これを用いてファイルを検索、感染有無を見ると6台とも感染していた。
③ ログとファイル作成日時から最初の感染PCを特定、公衆無線LAN接続+セキュリティプログラム未適用+マルウェア定義ファイル未更新が原因であった。G社はPCを持ち出したときの情報漏洩は想定していたが、外で感染したPCを持ち帰るリスクを想定していなかった。
④ 初動対応としてNSMセンサのIDS機能のシグネチャを更新、ワームVの感染活動パケットを監視することにした。
⑤ 再発防止としてPCを持ち帰った際に接続可否を判断するためのチェックを行うこと、有線LANでは同じL2SWに接続されたPC同士のワーム感染を防ぐ対策を実施することにした。

問題文(設問1)

解説(設問1)

(1)は各所の穴埋め。[a]はミラーポートを流れる通信量は全二重1Gbpsの1ポートの送受信をミラーリングすると最大[a]bpsになるという話で、全二重は送受信を同時に行う→1×2=2G(ウ)bpsが答えになります
[b]はVLAN設定をするならL3SWではIEEE 802.1Qの[b]を付与した状態でのミラーリングができるという話で、VLANだからVLANタグ(ス)が入ります。
VLANの話はあとでも出てくるので答えの後でまとめて行います。
[c]はミラーポートを使用せずにパケット取得をする方法としてネットワーク[c]を使用するということで、タップ(セ)が入ります。
ネットワークタップはネットワーク上のトラフィックを取り出すことができる装置です。
[d]は6台のPCが[d]リクエストをブロードキャストで送信、同一セグメント内のPCを探索していることを確認ということで、ARP(エ)リクエスト。
IPアドレスからMACアドレスを求めるものです。RAPRはMACアドレス→IPアドレスでした。
[e]はセキュリティ機関からワームVのインディケータ情報が[e]形式で提供されていたというので、STIX(コ)形式です。脅威情報構造化記述形式というらしいです。
答え a : ウ, b : ス, c : セ, d : エ, e : コ

VLANについて
VLANはVirtual LANのことで、例えばL2SWに接続しているA,B,C,Dという4つのPCは1つのネットワークに属することになりますが、このVLANの設定をすると同じL2SW接続なのにA,Bはネットワーク1に、C,Dはネットワーク2に属するというように、ネットワークを分離できます。
VLANにはスイッチの物理ポートごとに分離するポートVLAN、データにVLANグループを「タグ」がつけられ、このタグを基にパケットを管理することで分離するタグVLAN、MAVアドレスで振り分けるMACベースVLAN、IPアドレスで振り分けるサブネットベースVLAN、ユーザーの認証情報で振り分けるユーザーベースVLANの5つがあります。
基本的にはポートVLANとタグVLANが有名です。

問題文(設問2)

解説(設問2)

(1)はワームVが445/TCPのポートスキャンをしたときの正常な応答とは何か。TCPといえば3wayハンドシェイク、SYN→SYN+ACK→ACKの流れはそろそろ覚えましたでしょうか。RSTか無反応なら通信しません。
答え SYN+ACK

(2)は宛先IPアドレス別の件数をNSM管理サーバで確認してもワームVのスキャンがそんなに多くないのはなぜか。(a)は同一セグメントに対してのスキャンを行うという話ですが、同一セグメントとはIPアドレスの第3オクテット(10.100.50.0/24なら50)が同じであることを意味します。図1でいうとL2SW傘下の部分が同一セグメントということです。NSMセンサはL2SWの上のL3SWにあるので、同一セグメント内のスキャンは感知しません。
(b)は1.1.1.1～255.255.255.255を1回ずつスキャンするもので、IPアドレス別にすると全てのIPアドレスに「1」と出るだけなので上位にはなりません。
答え 
(a) パケットがNSMセンサの監視対象外であるため
(b) 同一IPアドレスへのスキャン回数は少ないから

問題文(設問3)

解説(設問3)

(1)は表1,2からワームVに感染した6台を特定するもの。
14:25時点で192.168.0.32なのはPC321です。
14:26時点で192.168.0.8なのはPC101です。
14:27時点で192.168.0.44なのはPC277です。
16:51:50時点で192.168.0.12なのはPC101です。
17:31時点で192.168.0.44なのはPC133です。
17:31時点で192.168.0.32なのはPC340です。
17:31時点で192.168.0.12なのはPC101です。
17:31時点で192.168.0.8なのはPC301です。
実はこの中に感染してないPCがあって何かを見て除外するとかやるのかと思ったら指定通り6台しかなかったのでこれでいいでしょう
答え PC101, PC133, PC277, PC301, PC321, PC340
(2)はDHCPのIPアドレスのリース期間が1時間で、感染したPCに割り振られていたIPアドレスのリース期間が終わった際に、別の感染したPCにそのIPアドレスが割り振られた、そんな汚染されたIPアドレスはどれかという話。
(1)のIPアドレスでは、192.168.0.8(イ)と192.168.0.44(カ)と192.168.0.32(オ)が2回出てきています。
答え イ, オ, カ

問題文(設問4)

解説(設問4)

(1)はPCを持ち帰った際に社内のLANに接続していいかどうかは何で見るか。今回の案件は公衆無線LAN接続+セキュリティプログラム未適用+マルウェア定義ファイル未更新のトリプルコンボが原因なので、これへの対策としてセキュリティ修正プログラム適用、マルウェア定義ファイル更新か、セキュリティソフトによるPCスキャンなどでマルウェア感染がないことを確認します。
答え
セキュリティ修正プログラムが適用されていること
マルウェア定義ファイルが更新されていること
PCがマルウェアに感染していないこと
(2)は同じL2SWに接続されたPC同士のワーム感染はどのように防ぐか。
ちょっと前に出てきたVLANですが、VLANタグがあれば異なるVLANに属する物理ポートにパケットが届かない=通信ができなくなるので感染を防げます。
答え VLANを使い、PC間の通信を禁止する。

終わりに

知識問題やや多めな感じ
(3)は悩むものかと思えばただ書き出すだけでした

主な参考サイト

情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.1】
平成30年(2018)秋 情報処理安全確保支援士 午後Ⅰ
脅威情報構造化記述形式STIX概説
基本13. 宅内のネットワークは?
【エンジニア入門】VLANでできることと仕組み、導入メリット