資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後１/問３ - ちゃぱてぃ商店IT部 @ ウィキ

問３　標的型攻撃メールへの対応に関する次の記述を読んで、設問１～３に答えよ。

　Ｚ社は、従業員数300名の家具卸売会社であり、メーカ10社から商品を仕入れ、小売店20社に販売している。Ｚ社のインターネット接続環境はインターネット上のWebサイトにアクセスしたり、電子メール(以下、メールという)を送受信したりしている。メールの送受信のために、インターネットドメイン名z-sha.co.jpを取得している。z-sha.co.jpのゾーン情報は、外部業者の保有するDNSサーバに登録し、管理を委託している。

• PC

　PCからのインターネット利用は、ブラウザによるWebアクセスと、メールクライアントによるメール送受信に限定する。

• AUT

　従業員のアカウント管理用ディレクトリを保有する。DNSサーバとして、社内で利用するイントラネットドメインのゾーン管理を行い、社内のPCに対して、社内サーバのFQDNの名前解決を提供する。

• PRX

　PCからのインターネットへのWebアクセスを中継する。WebサイトからPCにダインロードされるファイルのうち、暗号化されていないものに対してウイルススキャンを行う。

• MX2

　社内向けメールサービスを提供する。従業員は、メールクライアントからメールの送受信を行う。MX2は各従業員のメールボックスを管理する。

• MX1

　社外のメールサーバとMX2間のメール転送を行う。暗号化された添付ファイルを除くメールのウイルススキャン、及びウイルスを検知したメールの隔離を行う。

• FW

　社内とインターネットとの間の通信制限を行う。具体的には、社内とインターネットとの間の通信は次の３種類だけを許可する。

• PCからPRX経由のインターネット上のWebサイトへのアクセス。
• MX1とインターネットとの間のメール転送
• PRX及びMX1からインターネットへのDNS通信

　社内とインターネットとの間の通信には、グローバルIPアドレスz.y.x.1をNATアドレスとして使用する。

注記　上記のサーバ及びPCにはウイルス対策ソフトが導入されている。

図２　Ｚ社のインターネット接続環境の概略

[不審なメールへの対応]
　Ｚ社では、セキュリティ強化のために、従業員教育に力を入れており、次の点について繰返し研修を行っている。

• 不審な添付ファイルは開かないなどのメールの閲覧に関する注意事項
• 不審なメールが届いた場合の、社内のセキュリティデスクへの通報手段
• PC環境の適切なアップデート方法

　ある日、営業部のＡ君からセキュリティデスクに対して、次のような通報があった。”メーカＹ社のＢ氏のメールアドレス(b-shi@y-sha.co.jp)からメールが届いたが、直前までＹ社内でＢ氏と打合わせをしており、疑念を抱いた。そのメールは、記載されている社名、部署名、氏名及びメールアドレスが全て正しかったが、念のためＢ氏に確認したところ、ヤスリ送信していないとのことだったので、不審なメールであると判断した。”
　なお、Ｙ社には、メールサーバを含む情報システムを国内で運用している。
　メールには文書ファイルが添付されていたが、Ａ君は、日頃の研修を思い出し、添付ファイルを開かずに、セキュリティデスクに通報していた。さらに、この添付ファイルを開くためのパスワードだと記入されたメールを直後に受信したので、それもセキュリティデスクに報告した。１通目の不審なメールのヘッダを図３に示す。

Return-Path: <b-shi@y-sha.co.jp>
Delivered-To: a-kun@z-sha.co.jp
Received: from mx1.z-sha.co.jp(mx1.z-sha.co.jp [□□.△△.○○.▽▽])
          ;by mx2.z-sha.co.jp (smtp) with ESMTP id ■■
          ;for <a-kun@z-sha.co.jp>; Fri, 27 Jan 2012 17:38:12 +0900 (JST)
Received: from smtp.y-sha.co.jp (unknown [80.◎◎.◇◇.☆☆])
          ;by mx1.z-sha.co.jp (smtp) with ESMTP id ▲▲
          ;for <a-kun@z-sha.co.jp>; Fri, 27 Jan 2012 17:38:10 +0900 (JST)
Received: from mail.y-sha.co.jp(localhot [127.0.0.1])
          ;by smtp.y-sha.co.jp (smtp) with ESMTP id ●●
          ;for <a-kun@z-sha.co.jp>; Fri, 27 Jan 2012 9:37:58 +0100 (CET)
Date: Fri, 27 Jan 2012 9:37:58 +0100
Message-ID: <▼▼>
From: b-shi@y-sha.co.jp
To: a-kun@z-sha.co.jp
Subject: ◆◆

注記１　Ｙ社のインターネットドメイン名はy-sha.co.jpである。
注記２　図中の□□、△△、○○、▽▽、◎◎、◇◇、☆☆は特定の数字を表し、■■、▲▲、●●、▼▼、◆◆は特定の英数字と記号を含むASCII文字列を表す。

図３　１通目の不審なメールのヘッダ

　セキュリティデスクで図３のヘッダを調べ、不審な点として、【　ａ　】と【　ｂ　】から、偽メールと判断した。ただし、ヘッダは、途中で書き換えられた機能性を否定できないことと、【　ｂ　】については、経由するサーバの設定が必ずしも正しいとは限らないことの２点から、悪意のある攻撃メールの疑いはあったが、そうだと断定はできなかった。
　セキュリティデスクは、支援契約を結んでいるセキュリティ専門会社に、添付ファイルとパスワードを提示し、調査を依頼した。後日、添付ファイルは、マクロ機能を使ったスパイウエアであることが判明した。

[メールアドレスの偽装と対策]
　しばらくたったある日、今度はＹ社情報システム部からＡ君に対して、”あなたが差出人の不審なメールが届いた。そのメールを添付したので、確認して欲しい”という問合わせメールが届いた。添付されていたメールは、Ａ君が開いて確認すると、確かにＡ君が差出人になっていたが、心当たりのないものだった。そのメールには添付ファイルはなかったが、本文に社外サイトへのリンクが記入されていた。Ａ君がリンクをたどったところ、やはり心当たりのない社外サイトであった。Ａ君はこの事態をセキュリティデスクに通報した。
　セキュリティデスクで調査した結果、何者かがＡ君を装った偽メールをＹ社に送信し、不審サイトに誘導しようとしたと判断した。Ｙ社に調査結果を連絡するとともに、セキュリティ専門会社になどにも連絡した。
　Ｚ社では、相次ぐ偽メールに危機感が高まり、情報システム部が中心になって、メールアドレスの偽装について対策を強化することになった。情報システム部のＰ部長は、まず、送信ドメイン認証技術についての検討をＳ主任に指示した。

　Ｓ主任は検討した結果をＰ部長に報告した。次は、その時のＰ部長とＳ主任の会話である。

Ｐ部長：メールアドレスの偽装はどのように阻止すればよいのだろうか。

Ｓ主任：当社のメールアドレスを偽装したメールの発信を、技術的対策で阻止することは難しいと思います。しかし、送信ドメイン認証技術を使えば、当社から正規に送信されたメールかどうかを、受信側で検証できます。ただし、当社が採用した送信ドメイン認証技術に、受信側のメールサーバが対応している必要があります。送信ドメイン認証技術の候補としては、普及率を考慮してSPF(Sender Policy Framework)がよいと思います。Ｙ社をはじめとする主要取引先と、導入について協議してみてはどうでしょうか。

Ｐ部長：なるほど。SPFの導入に際して、どんな作業が必要になるのかね。

Ｓ主任：z-sha.co.jpのゾーン情報を管理しているDNSサーバに、図４に示すTXTレコードを登録します。当社のメールサーバの設定変更は不要です。

Ｐ部長：偽装したメールかどうかはどのように判定するのかね。

Ｓ主任：受信側のメールサーバが、【　ｃ　】中のSMTPの【　ｄ　】コマンドの引数で指定されたアイデンティティのうちドメイン名の部分を基に、DNSサーバに問合せを行い、SMTP接続元のIPアドレスと比較します。

Ｐ部長：分かった。メールを頻繁に送受信する取引先と協議を始めることに使用。

z-sha.co.jp. IN TXT "v=spf1 +ip4:【　ｅ　】 -all"

図４　登録するTXTレコード

[標的型攻撃への対策]
　Ｐ部長とＳ主任は、送信ドメイン認証技術の導入を進める一方、標的型攻撃への対策についても検討を行った。

Ｐ部長：今回のＡ君の対応はどうだったかな。

Ｓ主任：Ａ君は研修を熱心に受け、この前の不審なメールへの対応は万全でした。しかし、今回のＹ社情報システム部からの問合せメールについては、①Ａ君の対応は不適切でした。今回は幸運でしたが、被害が出る可能性がありました。Ｙ社からの問合せなので油断したのかもしれません。

Ｐ部長：標的型攻撃の恐ろしいいところだな。しかも、攻撃が巧妙化していけば、阻止しようとする対策だけでは限界がある。もし攻撃が成功したとしても被害を最小限に留めるための対策も必要になる。

Ｓ主任：典型的な標的型攻撃では、(A)ウイルスが、様々な方法で社内に侵入し、(B)社内で感染を拡大させ、(C)感染したPC及びサーバのアクセス権を入手して情報収集を行います。このとき、ウイルスの活動によって異常なトラフィックが発生したり、PC又はサーバが異常な振る舞いをしたりすることもあります。その後、(D)収集した情報をネットワーク経由で攻撃者に報告します。

Ｐ部長：そうだな。このような被害の拡大をどこかで断ち切れるように対策を強化していこう。

Ｓ主任：はい。(A)については、MX1及びPRXにウイルス対策ソフトを導入しており、(B)についてはPC及びサーバにウイルス対策ソフトを導入しています。(C)については②PC又はサーバの監視強化を検討します。(D)は、バックドア通信と呼ばれるものですが、対策は簡単ではありません。

Ｐ部長：つまりどういうことかね。

Ｓ主任：バックドア通信については、③当社のネットワーク設定で既に遮断できる通信もあります。しかし、例えば、ウイルスがWebアクセスの通信パターンを模倣して行う通信については、現在のところ防げません。これに関しては、④更なる対策を検討していきます。

Ｐ部長：そうか、引き続き、バックドア通信について対策を検討してくれ。

　Ｚ社では、こうした議論を踏まえ標的型攻撃への対策の強化を進めた。

設問１ [不審なメールへの対応]について、本文中の【　ａ　】、【　ｂ　】に入れる適切な字句を解答群の中から選び、記号で答えよ。解説・回答

ア　Ｙ社が国内で運用しているはずのメールサーバのタイムゾーンが、日本ではなく海外になっている点。
イ　Ｙ社とＺ社間で中継サーバを経由した記録がなく中間経路を隠蔽する改ざんが行われている点。
ウ　Ｙ社のメールサーバのアドレスが、Ｙ社のアドレスではなく、かつ、DNS参照が”unknown”になっている点
エ　Ｚ社のメールサーバのローカルアドレスではなく、Ｚ社のグローバルアドレスが参照されており、NAT変換が無視されている点

設問２　[メールアドレスの偽装と対策]について(1)、(2)に答えよ。

(1) 本文中の【　ｃ　】、【　ｄ　】に入れる適切な字句を解答群の中から選び、記号で答えよ。解説・回答

ア　EXPN
イ　MAIL FROM
ウ　RCPT TO
エ　VRFY
オ　メールエンベロープ
カ　メールボディ

(2) 図４中の【　ｅ　】に入れる適切な字句を図１～３中から選び答えよ。解説・回答

設問３　[標的型攻撃への対策]について、(1)～(4)に答えよ。

(1) 本文中の下線①について、Ａ君の対応のうち、添付されていたメールを不用意に開いた点以外の不適切だった点を20字以内で述べよ。解説・回答
(2) 本文中の下線②に示したPC又はサーバの監視強化にはいくつかの方法が考えられる。監視強化のためのシステムを導入する場合、導入するシステムの名称及び設置場所を10字以内で答えよ。また、そのシステムで監視すべき事象を15字以内で答えよ。解説・回答
(3) 本文中の下線③で示したネットワーク設定を、図１中の機器名を二つ以上用いて、40字以内で具体的に述べよ。解説・回答???
(4) 本文中の下線④で示した更なる対策として考えられる具体的な手段を、40字以内で述べよ。解説・回答???