令和元年のIPA問題に挑む~安全確保支援士 PM1②~
目的
勉強のやり直し(すーぱー忘れてる)
回答例が欲しい人は回れ右です。
問題2 サイバーセキュリティ情報の活用
問題1と同様。とりあえず問題を読む。
あたりまえのようにネットワーク図がでてくる。
「情報」と「ネットワーク」は切り離せない問題だからだろう。
そろそろ「クラウド」がねじ込まれてくるだろうけど、、、いつごろ入ってくるのか。
相変わらずHとかIとか。イニシャルでリソース持っていかれるのつらい。
極端に知らない単語も少ないし、これはきちんと勉強していれば解けるのではないか。
問題の全容としては
C&Cによる攻撃を受けた⇒攻撃の結果を観察⇒対策を練る。
というよくあるような問題。
問1 (1) 攻撃失敗の理由を答えよ。
文中にある攻撃者の特徴と、社内のセキュリティから照らし合わせてみてみよう。
・失敗した通信⇒HTTPにより、グローバルIPアドレスに対して通信。これが失敗している。
・攻撃者の特徴⇒HTTPでの通信の場合、プロキシサーバのIPアドレスを確認して、プロキシサーバを経由してC&Cサーバと通信する。
上記より、プロキシサーバが頑張ってくれたのではないか。と推測する。
問題文中のプロキシサーバとPCの設定をみてみる。
PC側
ブラウザからのインターネットへのアクセスはすべてプロキシサーバを経由する。
設定は管理者が行い、管理者しか変更できない。
プロキシ側
ということで、BASIC認証に失敗して通信できなかった。が妥当か。
利用者IDとパスワードによるBASIC認証が有効になっている。
必要なアカウント情報はプロキシサーバ内に保持している。
そのまま回答は
「BASIC認証に失敗したため」
ぐらいでいいのでは。プロキシという単語をいれると20文字では納めにくい。入れたいけど。
問1 (2) DNSログを吐き出す機器を答えよ。
パブリックDNSに対するアクセスのログが残っている、機器の名称を答える問題。
問題中の表に提示されている機器は
「PC」「FW」「プロキシサーバ」「外部DNSサーバ」「メールサーバ」「認証サーバ」「内部DNSサーバ」
となっている。
PCには「EDR」が設定されている。がDNSのログは出さない。と問題に明記されているため、除外。
「FW」も残っているかもしれない。ひとまず保留。
「プロキシサーバ」は「HTTP」「HTTPS」通信の中継を行う。と問題に明記されている。除外。
「 外内部のDNSサーバ」のどちらもログの設定はない。と明記されているため除外
「メールサーバ」は送受信履歴はあるが、DNSとは関係ないだろう。除外(ぷろとこるもHTTP、POPと明記されているし)
「認証サーバ」はPCログイン時に使用している。よって、ログイン後の通信であろうDNSとは関係なさそうなので除外
残っているのは「FW」だけ、
ということで回答は「FW」でよいと思う。
問1 (3) 情報の持ち出しの痕跡を確認する方法を2つ答える
2つ・・・30文字。
ISAC情報適用をもとに。と問題文に明記されているので、ポイントがないか読んでみる。
怪しいのはたぶんこのへん
たぶんこれだろう。それらしいものを問題文から拾ってみると以下の2件になる。
・マルウェアは侵入後、搾取する情報を探すために内部ネットワークの検索を行う。
・まず搾取する情報を暗号化し、一定のサイズに分割する。その後C&Cサーバへ・・・
痕跡1 FW「内部ネットワークへのアクセスログ」
痕跡2 EDRによる記録結果「ファイル操作」
んー。30文字にしては短い。
痕跡2 EDRによる記録結果「情報の暗号化、サイズ分割の記録」
ぐらいか。きっちり決まらないが、この辺だとは思う。難しい。
問1 (4) インシデント情報の共有。
回答欄から有効と思われる情報を2つ選ぶ。
ア 感染日時情報
⇒うーん。いらない気がする。
イ マルウェアがHTTP通信を試みたグローバルIPアドレス
⇒有用だと思う。 IPで直接遮断しても問題ないだろうし。ということでこれは回答1
ウ マルウェアが配置されていたフォルダのパス
⇒有用なような。2台感染していて2台とも同じフォルダに展開せれていることが問題文から読み取れる。保留
エ、カ、感染したPCのプライベートIPアドレス
⇒いらない情報。
オ、キ マルウェアのファイル名
⇒うーん。 あってもいい気がするが。
文中にも亜種がボロボロでていることも明記されていて、なおかつ感染した問題の会社でも
それぞれ別のファイル名。またファイル名も規則性がない。みててもしようがない・・・
ということで回答は
「イ、ウ」
問2 (1) C&Cを防ぐためのディジタル証明書
EDRによってディジタル照明の付与されていない実行ファイルからの通信を遮断する。
この時の証明書はどれか。
選択式で消去法で行けたけど、ぐぐった。まぁこれでしょう。
https://jp.globalsign.com/service/codesign/knowledge/
問3 (2) プロキシを突破する方法。
今回はプロキシ認証でブロックできたけど(これ、設問のせいで、上の回答が強化されてるきが)
以下の方法のうち、それらを突破するものではないものはどれか。という問題。
ア Webブラウザのオートコンプリート情報の削除
⇒これはやばい。 WebブラウザでプロキシサーバにつなぐためのID,パスワードを入力した情報が
残っている。ということになれば、やられたらアウトだろうからこれは有効な攻撃手段。
入力補完は便利なんだけどな。
イ キーロガーによる攻撃
⇒キー操作を盗まれている。となるとこれまたやばそうなので有効な攻撃手段
ウ ゴールデンチケットの搾取
⇒なんことかわからない。保留
エ 総当たり攻撃
⇒全部ためされたらそのうちヒットするだろう。 セキュリティ要項を見ても、
連続的なアクセスに対する遮断等は明記されていないので、有効な攻撃手段
オ 偽のBASIC認証画面の表示とその画面への誘導
⇒これは完全にやばいでしょう。有効な攻撃手段
カ ネットワーク盗聴
⇒んー。内部のことを言っているのか外部のことを言っているのか。
プロキシ認証の通信内容が保護されていないなら、これもやばいと思う。保留
とういことで、削除していくとゴールデンチケットの搾取。が回答になるが・・・
ググってみよう。
https://www.nikkei.com/article/DGXMZO82155240Q5A120C1000000/
アクティブディレクトリ、ケルベロス認証にかかわることの模様。
チケットの発行等も問題文にもないし、ゴールデンチケットの搾取。が回答で問題なさそう。
仮に、認証サーバでチケットを発行し、ログインに成功した場合はプロキシサーバでの
認証が不要になる。というようなシステム構成の場合、ゴールデンチケットの搾取。ということが有効になるだろう。
問3 (3) FWのフィルタリング
マルウェアがパブリックDNSを利用してC&Cへアクセスするのを防ぐフィルタを答える問題。
より、どの項番、送信元、あて先、サービスをどのように変えるか。を答える
項番の小さいものが優先して採用される。という性質から、
項番3 すべての送信元からインターネットへ向けてのDNS通信。を許可している。
ここを直す必要があるだろう。1、2については社内に向けた通信なので、今回は無視しても大丈夫。
内容を考える。
送信元:全て
⇒マルウェアから通信を都合よくフィルタできればいいのだが、そうもいかない。
PCのNICを通して通信され、FW側では「PCからの送信」ということまでしか認識できないだろう。
ここはこのまま「全て」で問題ないはず。
また、PC以外からも(メールサーバやプロキシサーバ)からも「DNS」に向かっては通信できるように
しておく必要がある。
今回は変更で、フィルタの追加を行はないので、このままが妥当。だと思う。
宛先:インターネット
⇒これもそのままでOKなはず。外部のDNSサーバへの通信は通す必要がある。よって
インターネット。でよいと思われれる。
ようはなんでもかんでも「DNS」なら許可していることが問題。
サービス:DNS
⇒ここがまずい。パブリックDNSは、問題文中にだれでも利用できるサーバ。とのこと。
特に必要がなければ、アクセスできないようにしておくほうが無難だろう。
そのうえで、社内から外部に向けて通信できるようにしてやらなければいけない。
が、問題分を見てもパブリックDNSの対になるDNSサービスはなさそう。
DNSかパブリックDNS。のどちらかだ。 これはこのままにしておかないといけない。
もう一度考え直す。必要なDNS通信を行っているのはだれか。
社内から外部へ向けての通信は「外部DNSサーバ」が行っている。と明記されている。
外部DNSサーバは「メールサーバ」「プロキシサーバ」からの通信を受けて、外部DNSと接続している。とも明記があり、
社内の通信は外部DNSサーバだけ開けてしまえば問題なさそうである。
つまり、送信元「全て」⇒「外部DNSサーバ」にしてしまえば、ひとまず外向けへの通信は何とかなるだろう。
そうすると今度は、内部のPCから内部のDNSに対する通信ができなくなる。もう一度
フィルタリングルールを確認してみる。
項番2により、オフィスセグメントから内部サーバセグメントへのDNSアクセスは許可されていた。これなら問題ないだろう。
ちょっと迷うのが「外部DNSサーバ」は「権威DNSサーバ」と接続する。とある。
うーん。あて先はインターネットではなく「権威DNSサーバ」なのではないか。たぶん。
残りの設問。
の穴埋め。全然わからん。C&Cのメジャーな攻撃手法だとおもうが。
ググってみる。
https://www.lac.co.jp/lacwatch/alert/20160201_000310.html
これっぽいが。
正当なDNS通信(ぽい)クエリを投げる。
b(DNSサーバ)をC&Cとして立てておく
c(外部DNSサーバ)にドメインのd(DNSクエリ)を送信
cが非d(DNSクエリ)を送信
あとはわからん。IPAの回答をまとう。TAC辺りからの回答でもありそう。