回答:ML2
(3) DMZは、公開Webサーバ、プロキシサーバなどで構成されている。プロキシサーバは、ブラックリストに登録したURLへのWebアクセスを遮断するフィルタリング機能をもっているが、J社では何も登録していない。
マルウェア名 | 特徴 |
ML1 | ・電子メールに添付された、ML1が埋め込まれているファイルをPDF閲覧ソフトで開くと、電子メールの本文の内容に関連するPDFファイルを表示するとともに、PDF閲覧ソフトの脆弱性を利用してOSの管理者権限を獲得し、ML2、ML3をOSのシステムフォルダに配置する。 |
ML2 | ・利用者がZブラウザのバージョン2を利用している場合、Zブラウザを起動するとその脆弱性を利用して、Zブラウザのプロセスで動作する。Zブラウザを終了すると動作を停止する。Zブラウザがバージョン3の場合は、ML2ば動作しない。 ・Zブラウザで設定されているプロキシサーバのIPアドレス、ポート番号、及びプロキシサーバでの認証の際に利用者が入力した認証情報を窃取し、OSのシステム情報格納領域に保持する。 ・攻撃者が用意しておいた数十のWebサーバ(以下、攻撃者のサーバという)に対して、プロキシ・サーバ経由でHTTP通信を試みる。通信に成功すると、ML4をダウンロードしてOSのシステムフォルダに配置する。 |
ML3 | ・OSのシステムフォルダに配置されると、攻撃者のサーバに対して、HTTP通信を試みる。通信に成功すると、ML4をダウンロードしてOSのシステムフォルダに配置する。 |
項番 | 送信元 | 宛先 | サービス | 動作 |
1★ | プロキシサーバ | インターネット | HTTP, HTTPS | 許可 |
2 | メールサーバ | インターネット | SMTP | 許可 |
3 | DNSサーバ | インターネット | DNS | 許可 |
4 | インターネット | 公開Webサーバ | HTTP, HTTPS | 許可 |
5 | インターネット | メールサーバ | SMTP | 許可 |
6 | インターネット | DNSサーバ | DNS | 許可 |
7★ | PC | プロキシサーバ | 代替HTTP | 許可 |
8 | PC | メールサーバ | SMTP, POP3 | 許可 |
9 | PC | DNSサーバ | DNS | 許可 |
10★ | 全て | 全て | 全て | 拒否 |