問1 マルウェア解析に関する次の記述を読んで、設問1~3に答えよ。


 J社は、新薬の研究開発を行なっている従業員数100名の研究所であり、ある特殊な分野の研究開発で世界的に高い評価を受けている。J社のネットワークは、研究開発事業で利用するネットワーク(以下、RD-LANという)、外部との情報交換に利用するネットワーク(以下、OA-LANという)及びDMZの三つで構成されている。J社のネットワーク構成ほ図1に示す。

(1)RD-LANはRDサーバと十数台のPCで構成されている。RDサーバには、J社において最も機密度が高い情報である新薬の研究報告書が、電子ファイルとして保管されている。機密保護の観点から、RD-LANは、他のネットワークと物理的に隔離されている。RD-LANと他のネットワーク間のデータの受け渡しは、J社の情報セキュリティポリシに従ってJ社所有のUSBメモリを介して行われ、必要最小限にとどめられている。

(2)OA-LANは100台のPCで構成されている。PCは業務に必要な電子メールの送受信及びインターネット上のWebの閲覧に利用されている。

(3)DMZは、公開Webサーバ、プロキシ・サーバなどで構成されている。プロキシ・サーバはブラックリストに登録したURLへのWebアクセスを遮断するフィルタリング機能をもっているが、J社では何も登録していない。


 全てのPC、RDサーバ、DMZの各サーバ及びネットワーク機器には固定のIPアドレスが設定されており、RD-LANのPCとRDサーバを覗いて、デフォルトゲートウェイがせっいてされている。また、全てのPC、RDサーバ及びDMZの各サーバにはウイルス対策ソフトがインストールされており、OA-LANのPCには、Webを閲覧する際に利用するZブラウザがインストールされている。現在、最新のZブラウザはバージョン3であるが、従業員の中には、操作しやすいという理由で、古いバージョン2のZブラウザを利用している者もいる。また、各サーバではサーバへのアクセスのログを取得している。FWでは許可及び拒否する全ての通信のログを取得している。J社のFWのフィルタリングルールを表1に示す。

表1 FWのフィルタリングルール

項番 送信元 宛先 サービス 動作
1 プロキシサーバ インターネット HTTP, HTTPS 許可
2 メールサーバ インターネット SMTP 許可
3 DNSサーバ インターネット DNS 許可
4 インターネット 公開Webサーバ HTTP, HTTPS 許可
5 インターネット メールサーバ SMTP 許可
6 インターネット DNSサーバ DNS 許可
7 PC プロキシサーバ 代替HTTP 許可
8 PC メールサーバ SMTP, POP3 許可
9 PC DNSサーバ DNS 許可
10 全て 全て 全て 拒否
注記1 J社で利用する主要なサービスのポート番号は、次のとおりである。
 HTTP:80, HTTPS:443, 代替HTTP:8080, DNS:53, SMTP:25, POP3:110
注記2 項番が小さいものから順に、最初に一致したルールが適用される。
注記3 項番7~9の送信元PCには、RD-LAN上のPCは含まない。


[過去のウイルス感染事例]
 J社では数年前に、公開Webサーバの情報が愉快犯と思われる攻撃者によって改ざんされるという事件があった。原因は、公開Webサーバに利用していたミドルウェアが脆弱性のあるバージョンのままとなっていたことにあった。しかも、それだけでなく、公開Webサーバのウイルス定義ファイルが古かったことから、ウイルスにも感染していた。この時には、J者のセキュリティ管理者であるY主任が、セキュリティベンダX者のS氏に協力を仰ぎ、公開Webサーバのミドルウェアのバージョンを更新するとともにウイルスを駆除した上で、念のためDMZの全サーバとOA-LANの全PCについて最新のウイルス定義ファイルでフルスキャンを行い、ウイルスに感染していないことを確認している。

[マルウェアの検出]
 今年になって、マルウェアの攻撃による情報漏えい事件の発生が相次いで報道されていることから、S氏はY主任に、マルウェアの感染の有無を確認する:検査サービスを提案した。S氏によると、検査サービスは、専門のアナリストが専用ツールでPCを調査し、疑わしい検体が発見された場合、解析を行うことで、ウイルス対策ソフトでは検出できないマルウェアを検出できるという。Y主任はRD-LANは重要度の高い機密情報が保管されているが、インターネットとは接続されていないので、検査サービスを受けるまでもないと考えた。一方、OA-LANはインターネットと接続されていることから、念のためOA-LANのPCのうち50台について、検査サービスを受けることにした。検査の結果、5種類のマルウェアが発見された。Y主任はマルウェアの影響などを明らかにするために、S氏にマルウェアの詳細な解析を依頼した。

[マルウェアの解析結果]
 S氏は、発見したマルウェアML1~ML5の検体をX社の解析センタに持ち帰り、詳細に解析した。その解析結果の概要を表2に示す。

表2マルウェアの解析結果の概要

マルウェア名 特徴
ML1 ・電子メールに添付された、ML1が埋め込まれているファイルをPDF閲覧ソフトで開くと、電子メールの本文の内容に関連するPDFファイルを表示するとともに、PDF閲覧ソフトの脆弱性を利用してOSの管理者権限を獲得し、ML2、ML3をOSのシステムフォルダに配置する。
ML2 ・利用者がZブラウザのバージョン2を利用している場合、Zブラウザを起動するとその脆弱性を利用して、Zブラウザのプロセスで動作する。Zブラウザを終了すると動作を停止する。Zブラウザがバージョン3の場合は、ML2ば動作しない。

・Zブラウザで設定されているプロキシサーバのIPアドレス、ポート番号、及びプロキシサーバでの認証の際に利用者が入力した認証情報を窃取し、OSのシステム情報格納領域に保持する。

・攻撃者が用意しておいた数十のWebサーバ(以下、攻撃者のサーバという)に対して、プロキシ・サーバ経由でHTTP通信を試みる。通信に成功すると、ML4をダウンロードしてOSのシステムフォルダに配置する。
ML3 ・OSのシステムフォルダに配置されると、攻撃者のサーバに対して、HTTP通信を試みる。通信に成功すると、ML4をダウンロードしてOSのシステムフォルダに配置する。
ML4 ・OSのシステムフォルダに配置されると、攻撃者のサーバに、自身をダウンロードしたマルウェアと同じ方法でHTTP通信を行い、OSの全てのコマンドを攻撃者のサーバからHTTP通信を介して遠隔操作可能な状態にする。

・ML4に感染したPCと同じネットワークセグメント(以下、セグメントという)内の他のPC、サーバ、ネットワーク機器の存在、空きポート、アプリケーションのバージョン等の情報を収集し、結果を攻撃者のサーバに送信する。

・様々なミドルウェアの脆弱性を利用した数百の攻撃用コードをもち、攻撃者の指示によって、ネットワーク上の他のPC、サーバ及びネットワーク機器を攻撃する。攻撃が成功すると、攻撃対象にML4自身を感染させる。それと同時に、ML5を感染させることもできる。
ML5 ・ML5に感染したPCにUSBメモリが接続されると、ML5が自身をUSBメモリに感染させる。

・感染したUSBメモリを未感染のPCに接続したとき、ML5が自身を感染させ、新たに感染したPCが接続させているセグメント内のPC、サーバ、ネットワーク機器の存在、空きポート、アプリケーションのバージョンなどの情報を収集し、保持する。

・新たに感染したPCが接続されているセグメント内のPC、サーバなどにML4が存在していた場合は、保持している情報をML4経由で攻撃者のサーバに送信する。
共通 ・ML1~ML5はパック処理されている。パック処理とは、マルウェア本体をエンコードし、それをデコードするための展開コードを付加して一つのファイルにすることである。ファイル実行時に、展開コードがマルウェア本体をデコードし、実行する。

・ML3~ML5は、OS起動時に自身を自動的に起動するように設定する。

・ML2~ML5は、OSのシステムフォルダに配置される際に、ファイルのタイムスタンプを特定のシステムファイルと同じものに書き換える。

・ML2~ML5は、感染したPCのパーソナルファイアウォール及びJ社が利用するウイルス対策ソフトのファイアウォール機能を無効にする。

 引き続き、S氏は、OA-LANの構成機器の情報を調査した。その欠か、次の見解に達した。
  • 4か月前、複数の従業員に届いた、ML1が埋め込まれているファイルを一部の従業員が開いたことでPCがマルウェアに感染した。
  • ML1~ML5は、パック処理に共通した固有の特徴が見られることから、同一の攻撃者によって作られた。
  • サーバ、PCがマルウェアに感染すると、その後、攻撃者がマルウェアを削除しても感染の痕跡が残る。
  • 痕跡及び①ML3の活動を示すログが残っていることから、攻撃者がML3の活動を隠蔽するために、J社のある機器のログの改ざんを試みたが、成功しなかった。
  • ML4経由でJ社のネットワーク環境を知った攻撃者によって、ML5がここ数日の間に送り込まれた。

[マルウェア解析後の暫定対策]
 解析結果から、S氏は直ちに対処が必要である旨を、Y主任に報告した。Y主任はS氏の助言を受けて、ML2~ML4と外部との通信を遮断する設定変更をプロキシ・サーバで行った。併せて②ML2の活動を阻止するための対策も実施した。Y主任は、過去のウイルス感染時の対策を参考に、DMZの全サーバと、OA-LANのPCのうち検査未実施の50台について、マルウェアの検査サービスを依頼したが、S氏は、”今回はその他に、FW、RD-LANのPCとRDサーバ及び [ a ] についても検査すべきである”と助剣した。
 J氏はS氏の上限に従ってマルウェアの検査サービスを受けた。その結果、OA-LANのPCにだけML1~ML5の存在又は感染の痕跡が確認された。
 次は、検査の結果に関するY主任とS氏の会話である。

Y主任 :数年前のウイルス感染と同じ攻撃者なのでしょうか。
S氏  :それはわかりませんが、今回の攻撃は近年増えている攻撃と特徴がよく似ています。例えば、攻撃者が目標を達成するために、③マルウェアを発見されにくくする工夫をしている点や、侵入先の企業のセキュリティ対策に合わせて攻撃方法を変更している点などです。
Y主任 :侵入先のセキュリティ対策に合わせて攻撃方法を変更するというのは、具体的にはどういうことでしょうか。
S氏  :ML5がその代表例と言えます。攻撃者は、ML1~ML4によって得た情報を基に&underline{④J者のネットワーク構成上のセキュリティ対策}を知り、それを突破できるようにML5を送り込んだのではないかと考えています。狩りに今回の攻撃者が、数年前のウイルス感染のような愉快犯であれば、ML5を送り込まなかったと思います。しかし、今回の攻撃者は目的を達成するために、時間を掛けてでも攻撃を継続するのではないかと考えられます。
Y主任 :当社にとって、どんな被害が想定されるのでしょうか。
S氏  :過去の同様の攻撃事例、J社で実施されているリスク評価の結果を踏まえた情報資産の価値、ML5が送り込まれたことを総合的に考えると、 [ b ] されることが想定されます。

 S氏は更にマルウェアの解析を進め、マルウェアの駆除手順をJ社に提供した。それによって、J社ではOA-LANのPCからマルウェアを駆除することができた。その後、Y主任はS氏の協力を得て、今回のマルウェア感染の根本原因を分析した。その分析結果を基に、PDF閲覧ソフトのセキュリティパッチ適用、USBメモリへの書出し制限ソフトウェアの導入、従業員教育など、予防的な対策を実施した。

設問

設問1 [マルウェアの解析結果]について(1)、(2)に答えよ。
(1) ML4をダウンロードしたマルウェア名を答えよ。 解説・回答
(2) 攻撃者がML3の活動を隠蔽するためにログの改ざんを試みた機器はどれか。マルウェアの特徴とJ社のネットワーク環境を基に答えよ。また、本文中の下線①について、どのような内容のログか。25字以内で具体的に述べよ。 解説・回答

設問2 [マルウェア解析後の暫定対策]について、(1)~(3)に答えよ。
(1) 本文中の [ a ] に入れる適切な字句を、本文中の用語を用いて10字以内で答えよ。 解説・回答
(2) ML2~ML4と外部との通信を遮断するために、Y主任が行った設定内容を、40字以内で具体的に述べよ。 解説・回答
(3) 本文中の下線②の対策とはどのようなものか。本文中の記載内容を基に25字以内で述べよ。 解説・回答

設問3 攻撃者の目的について、(1)~(3)に答えよ。
(1) 本文中の下線③の工夫を、マルウェアの機能の観点から二つ挙げ、それぞれ20字以内で具体的に述べよ。 解説・回答
(2) 本文中の下線④について、攻撃者が突破を試みたJ社のセキュリティ対策とは何か。30字以内で具体的に述べよ。 解説・回答
(3) 本文中の [ b ] に入れる、想定されるJ社の被害を15字以内で答えよ。 解説・回答

添付ファイル