情報処理安全確保支援士2017年(平成29年)秋午後1問1(3,414 文字)

問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです

本文(設問1)

P2～P4

本文要約(設問1)

[前提]
① B社は本社と営業店、倉庫があり、ネットワークはIP-VPN接続。インターネットへの接続は本社が集約。情報共有サーバ(Gサーバ)でファイルをやり取りする。Gサーバのデータなどは定期的にバックアップされる。Gサーバは各PCにドライブ割当されている。
② 販売在庫管理ソフト(業務AP)はDサーバで稼働しており、出荷時は無線ハンディターミナル(HT)で情報を伝える。Dサーバも各PCにドライブ割当されている。
③ Aアプリは業務APにHTTPSで接続する機能と、出荷指示ファイルを読み書きする機能がある。
[図2]
① 営業担当が業務APに受注情報を登録→本社スタッフが出荷指示情報を登録→業務APがDサーバに出荷指示ファイルを出力→出荷担当者がHTとAアプリでステータスを出荷処理中にして出荷指示情報を読取→出荷が終わればステータスを出荷完了に変更→営業担当と本社スタッフが出荷状況の確認
[セキュリティインシデント発生]
① 連絡を受けたシステム担当がDサーバを見ると出荷指示ファイルの破損とAアプリの読込エラーが判明。破損したファイルは別に保管しつつ、バックアップから復元した。
② 「暗号化を解除してほしければ手順に従え」という旨の脅迫文がPCに表示。同時にそのPCで一部のファイルが開けないことを確認したのでPCを隔離。
③ Dサーバの出荷指示ファイルも同様に開けない=マルウェア感染と思われたので業務を一時中断
[セキュリティインシデント調査]
① PC起動→ログオン→Aアプリ実行→メール閲覧→invoice.fdp.exe実行→種々ノファイル暗号化→出荷指示ファイルも暗号化→脅迫文表示の流れであることがわかった。

問題文(設問1)

解説(設問1)

このタイムラインを作るには何の情報が必要かという話ですが、素直に更新日時(イ)を見ていけばいいと思います。新しい暗号化されたファイルが「作成」されているとか、元のファイルが「削除」されているとかいう可能性もありますが、素直に元の情報が更新されてるのだから更新日時でいいじゃないですか。
答え イ

本文(設問2)

P4(重複あり)～P6

本文要約(設問2)

① PC起動→ログオン→Aアプリ実行→メール閲覧→invoice.fdp.exe実行→種々ノファイル暗号化→出荷指示ファイルも暗号化→脅迫文表示の流れであることがわかった。
② 受信したメールを見るとPDFに偽装したマルウェアが添付されており、ファイル名にUnicode制御文字の[a]が使われていたので、invoice.fdp.exeがinvoice.exe.pdfに見えていた。
③ 受信者はpdfと思い込んでexeファイルを起動、メールヘッダの[b]フィールドを見ると社外からの送信であることもわかった。
④ 管理者権限を用いてPC内のマルウェアを除去、暗号化直前のバックアップデータでファイルを復元した。
⑤ 今回のマルウェアはランサムウェアXと呼ばれるもので、アクセス可能な内蔵、外付け、ネットワークドライブを探して暗号化するものであった。結果としてDサーバ上の出荷指示ファイルも暗号化された。
⑥ Dサーバと同様にGサーバのファイルも暗号化されていたので、バックアップから復元した。

問題文(設問2)

解説(設問2)

(1)の(a)はUnicodeの制御文字、(b)はメールの送信元の話。
知識ですが(a)はRLO(Right-to-Left Override)(オ)です。なおCRLFは改行の意味です。(b)はReceived(エ)です。名前のままですね。
Content-TypeはエンコードのタイプでUTF-8とかtext/htmlとからしい。
X-Mailerはメールソフトの名称(Microsoft Office Outlookとか)とバージョンが書かれるらしいです。
答え (a) オ (b) エ
(2)は復元するときに感染開始時刻と何を注意すればよいかの話ですが、普通にバックアップがいつ終わったかです。マルウェアに感染したバックアップファイルを使わないようにしましょうと。
答え バックアップ終了時刻
(3)はDサーバが暗号化された原因はPCとランサムウェアXがどういう設定、機能だからかをそれぞれ答える。
ランサムウェアがアクセスできる内蔵、外付け、ネットワークドライブをどんどん暗号化していくことと、PCはDサーバもGサーバもネットワークドライブとして割当があるのでここが原因といえます。
答え
営業用PCの設定 : Dサーバ上の共有フォルダをネットワークドライブとして割り当てる。
ランサムウェアXの特徴 : ネットワークドライブ上のファイルも暗号化の対象となる。
(4)は感染直後にネットワークを切断したら何の被害が減るかという話。少なくともネットワークドライブの被害は減るでしょうね。怪しいときは即切断。これ大事
答え DサーバとGサーバのファイルの暗号化

本文(設問3,4)

本文要約(設問3,4)

① ランサムウェア感染時のサーバ被害を減らすためにアクセス権限を必要最小限に絞った。
② 暗号化されたファイルの複合について、共通鍵暗号タイプは解析によってできることがあるが、共通鍵+公開鍵組み合わせタイプは解析してもつらい。
③ ランサムウェアXは暗号化時の共通鍵はメモリに残ったままなので、PCをハイバネーション機能で休止保管しておくと復元できる可能性がある。
④ 別のランサムウェアYはファイルを暗号化するとともに、他サーバやPCのOSの脆弱性を使って管理者権限で感染を広めるので、セキュリティパッチの適用と運用見直しを始めた。

問題文(設問3)

解説(設問3)

(1)は上の表を埋める話。出荷担当者は出荷指示を見るのと出荷完了のステータス更新がありますからどちらも「可」にする必要があります。
営業担当者は出荷状況の確認をするので読みは「可」ですが、書きは不要なので「不可」です。最初の受注情報はDサーバ宛じゃなくAアプリと業務APの話です。
本社スタッフも出荷状況の確認をするので読みは「可」ですが、書きは不要なので「不可」です。出荷指示情報の登録も業務APの話です。
答え c 可 d 可 e 可 f 不可 g 可 h 不可
(2)は共通鍵+公開鍵組み合わせタイプは解析してもつらいのはなぜか。
前の文書で共通鍵は解析できる可能性があるという話をしていますが、公開鍵に対応する秘密鍵は当然わからないので複合できません。
答え 復号に必要な共通鍵や秘密鍵が検体に含まれていないため
(3)は休止保管しないと複合できなくなるのはなぜか。メモリに残ったままだから休止状態にしてねという話なので、そりゃあシャットダウンしたら消えるんでしょう。
ハイバネーションはPCを切るときにメモリの内容をストレージに書き込むことだそうです。
答え PC内で一時的に作成されたメモリ上の共通鍵が消えてしまうため

問題文(設問4)

解説(設問4)

マルウェアYは管理者権限を使って広まるということですが、
本文要約(設問2)の④で「管理者権限を用いてPC内のマルウェアを除去、暗号化直前のバックアップデータでファイルを復元した。」という話がありました。そして読み返すと序文の前提のところに「一般利用者権限ではアクセスできない領域に～(略)～バックアップされる」と書いてありました。
管理者権限でしかマルウェア除去ができないかは微妙ですが、管理者権限があるとバックアップデータをいじれるので、バックアップデータが暗号化される可能性があります。
答え 共有フォルダのバックアップデータも暗号化されてしまい復元できなくなる

終わりに

知識がないと解けないのは設問2の(1)くらいな気がしました。IPAも全体的に正答率が高かったと書いてます。
2023年秋の午後もこのレベルでお願いします
今までの午後1は1問あたり45分(計90分)、午後2は1問あたり120分(計120分)だったのが、新午後は1問あたり75分(計150分)なので、長さ的には午後1と午後2を足して2で割るくらいになるんでしょうか。

主な参考サイト

情報処理安全確保支援士 平成29年度秋 午後1 問1