情報処理安全確保支援士2019年(令和元年)秋午後1問2(3,418 文字)

問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです

本文(設問1)

本文要約(設問1)

[前提]
① Z社は個人情報を扱う金融事業会社で、サイバー攻撃対策のためISACに加盟した。ネットワーク構成は図1、FWのフィルタリングルールは表1、機器の詳細は表2の通り
[ISACからの情報提供と対応]
② 他社にてマルウェアYの亜種であるマルウェアP従業員が社内利用しているIDパスワードが窃取された。攻撃グループXによる犯行の可能性が高いが確証はない。Xの特徴として
(あ) メールにて攻撃対象ごとにファイル名だけ変更したり、攻撃対象ごとにコードの一部やファイル名を変えた亜種のマルウェアを送る
(い) マルウェアは窃取すべき情報を探して内部ネットワーク探索を行い、情報を持ち出すときには暗号化して一定サイズに分割、C&C通信を行う。
(う) C&C通信にはHTTPかDNSプロトコルを使用する。HTTPではWebブラウザに設定されたプロキシサーバのIPをみてプロキシ経由でC&Cと通信する。DNSプロトコルではパブリックDNSサービスLを経由して通信する。攻撃対象組織のDNSサーバを経由したC&C通信は報告されていない。
③ ②を重く見てZ社が攻撃を受けたかどうかを調査、結果は以下の通り。
A) 最新のマルウェア定義ファイルを用いたスキャンで検知なし
B) マルウェアP情報を用いてEDRで調査すると1台のPC(PC-V)がマルウェアPに感染していた。AmX3PxvR7.exeという名前でローカルストレージフォルダNに保管されており、11/18 11:09にPC-Vの利用者が表計算ファイルに偽装されたメールの添付ファイルをクリックして感染。汎用検索サービスAやグローバルIPアドレスMにHTTP通信を試みたが、Z社のネットワーク環境で遮断されていた。
C) グローバルIPアドレスMはXのC&Cサーバのものであった
D) Z社のEDRはDNSプロトコル通信を記録しない設定だったが、パブリックDNSサービスLに対しての通信が発生したら[a]のログに残る。そのログに通信がないことを確認した。
E) グローバルIPアドレスMへの通信をEDRで調べるとPC-TのローカルフォルダNにbV6fZq3hi.exeを発見、Mとの通信を試みていた。このexeファイルはマルウェアYのの亜種であるマルウェアRで、11/18 16:15にPC-Vと同じ方法で感染していた。マルウェアRもAとMへHTTP通信を試みたが遮断されていた。
F) ISACの情報を基に情報持ち出し成功時に残る痕跡を調べたが、なかった。
④ ③よりZ社は攻撃を受けたが情報窃取はされていないと判断。調査で判明した情報はISACに提供した。

問題文(設問1)

解説(設問1)

(1)はマルウェアPに感染したPCが汎用検索サービスAとグローバルIPアドレスMにHTTP通信しようとして遮断された理由。通信社団と聞いて思い浮かべるのは皆さん当然FWでしょうが、HTTP通信を遮断されたら普通にインターネットみれないというのと、一応FWの設定見てもちゃんと許可されているというので不発です。
というわけで他の設定を見てみると、これもよく出てくるプロキシサーバにPC→インターネット通信にはIDでプロキシ認証が必要という話があります。ここをマルウェアだけでは突破できないので通信が遮断されます。
答え プロキシ認証に失敗したから

(2)はパブリックDNSサービスLに対しての通信が発生したら[a]のログに残るという話。FW(b)以外思いつかないですが何かあるのでしょうか
一応フィルタリングルールでもDNSの通信は許可されています。
答え (b)
(3)は情報持ち出しが成功するときに残るものは何か
まずはこのマルウェアは暗号化してサイズ分割してC&C(HTTP/DNS)通信という話でした。となれば残る痕跡は通信経歴があるかを見ればいいと思います。具体的に書かないとだめとIPAから後日談があったので答えの3要素(相手、プロトコル、通信成功)のうち1つ抜け答えが多かったと予想
答え
グローバルIPアドレスMへのHTTP通信成功のログ
パブリックDNSサービスLへのDNS通信成功のログ
(4)は他社のためにISACに伝える内容。日時は確かに流行という意味ではほしいですが通信相手のグローバルIPアドレスM(イ)とフォルダNのパス名(ウ
)はもっと欲しいです。プライベートIPは役に立たないしファイル名も変わるので意味はありません。
答え イ, ウ

本文(設問2)

本文要約(設問2)

① 多層防御に考えに基づいてC&C通信全般と各手法への対策を検討する。
② ディジタル署名のない実行ファイルからの通信はEDRで遮断、Z社が通常使用するソフトウェア(正規実行ファイル)はソフトウェア開発者がディジタル署名を付与するか、Z社で付与する。こうすることでディジタル署名検証により正規実行ファイルか否かを判定する。
③ C&C通信の手法としては以下の通り
1⃣　マルウェアがプロキシ認証情報を剽窃し、プロキシ認証を突破、C&C通信を行う
2⃣ パブリックDNSを利用してC&C通信を行う
3⃣ 攻撃者が予め攻撃用ドメインを取得、[b]をC&Cサーバとしてインターネット上に配備、マルウェアが[c]に攻撃用ドメインの[d]を送信すると[c]にC&Cサーバに非[d]を送信することでC&C通信を行う。長いホスト名を持つDNSクエリの発生や[e]のような特徴がでる。
③ ②の2⃣への対策としてはFWのフィルタリングルールを変更することによりC&C通信を遮断するとよい。

問題文(設問2)

解説(設問2)

①はディジタル署名っていうけどどの証明書を使うのか。S/MIMEはメールの話なので他のソフトには使えないし、TLSも暗号化の話なので関係ないですね。よってコードサイニングのエです
答え エ
②はプロキシ認証情報の剽窃にはならない攻撃手法について。
まず入力情報を読めたらそれはIDパスワードを取得できるのと同義なので、アのオートコンプリート、イのキーロガー、オの偽サイト誘導、カのネットワーク盗聴(暗号化されていなければ)はプロキシ認証情報の剽窃ができます。また、エの総当たりも盗むという感じはないですが、プロキシ認証情報を取得できます。よって残りのゴールデンチケット剽窃(ウ)が答えです。
ゴールデンチケットとはケルベロス認証などで管理者権限を取ってから不正な認証チケットを作成する攻撃で、プロキシ認証情報の話ではないです。
答え ウ

③はパブリックDNSを利用してC&C通信を防ぐためにはフィルタリングルールのどれを買えるか。まあDNSの通信は3しかないのですが
送信元はすべて、宛先はインターネット、サービスはパブリックDNSで動作を遮断したいので、図1よりインターネットとの通信は外部DNSサーバ(DMZ)から行うことを考慮すると、逆に送信元をDMZ、宛先はインターネット、サービスはDNSを許可します。許可されていないものは7で遮断されますからね。
④は3⃣の手法の穴埋め。要は名前解決です
マルウェアがDNS通信をしようとDNSクエリを送信する相手はまずは外部DNSサーバです。その外部DNSサーバはキャッシュDNSサーバに再帰問い合わせ、キャッシュDNSサーバは権威DNSサーバに反復問い合わせを行います。
このときに送るクエリがマルウェア→外部DNSサーバが再帰的クエリで外部DNS(c)→権威DNS(C&C)(b)が非再帰的クエリ(d)です
答え b : 権威DNSサーバ, c : 外部DNSサーバ, d : 再帰的クエリ
⑤は④の時の特徴について。すごいざっくりしてますがデータ送信時には剽窃する情報を分割して送るという話があったので、これを持ち出すために多数のDNSクエリが発生します。
答え 特定のドメインに対する多数のDNSクエリの発生

終わりに

名前解決の問題は本当によく出てくるなという感想

主な参考サイト

コードサイニング証明書とは?
Golden Ticket (ゴールデンチケット)
コードサイニング証明書、プロキシ認証情報の窃取、DNSトンネリング【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問2 設問2】
標的型攻撃