「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問1設問1-1」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
* (1) マルウェアをダウンロードしたマルウェア名を答えよ。
>回答:ML2
* 解説
まず注目すべきは「表2 マルウェアの解析結果の概要」です。
** 表2マルウェアの解析結果の概要(抜粋)
|マルウェア名|特徴|
|ML1|・電子メールに添付された、ML1が埋め込まれているファイルをPDF閲覧ソフトで開くと、電子メールの本文の内容に関連するPDFファイルを表示するとともに、PDF閲覧ソフトの脆弱性を利用してOSの管理者権限を獲得し、&bold(){ML2、ML3をOSのシステムフォルダに配置する。}|
|ML2|・利用者がZブラウザのバージョン2を利用している場合、Zブラウザを起動するとその脆弱性を利用して、Zブラウザのプロセスで動作する。Zブラウザを終了すると動作を停止する。Zブラウザがバージョン3の場合は、ML2ば動作しない。&br()&br()・Zブラウザで設定されているプロキシサーバのIPアドレス、ポート番号、及びプロキシサーバでの認証の際に利用者が入力した認証情報を窃取し、OSのシステム情報格納領域に保持する。&br()&br()・攻撃者が用意しておいた数十のWebサーバ(以下、攻撃者のサーバという)に対して、プロキシ・サーバ経由でHTTP通信を試みる。通信に成功すると、&bold(){ML4をダウンロードしてOSのシステムフォルダに配置する。}|
|ML3|・OSのシステムフォルダに配置されると、攻撃者のサーバに対して、HTTP通信を試みる。通信に成功すると、&bold(){ML4をダウンロードしてOSのシステムフォルダに配置する。}|
- 攻撃の起点となるML1が実行されると、ML2とML3がシステムフォルダに展開されます
- ML2とML3に「ML4をダウンロードしてOSのシステムフォルダに配置する」とあるので、ML4をダウンロードするマルウェアはML2かML3のどちらかに絞られます。
次に、ML2とML3の違いを見ていきます。
**ML2とML3の違い(設問に対して重要なところだけ)
ML2
>- Zブラウザのバージョン2を利用している場合、Zブラウザに設定されているプロキシサーバの接続情報を保存
>- 攻撃者のサーバにプロキシサーバ経由でHTTP通信でML4をダウンロードする
ML3
>- 攻撃者のサーバに対してHTTP通信経由でML4をダウンロードする
これだけでも、ML2の方が手が込んでいてML2が正解のような気がしてきますが、もう一歩ファイアウォールの設定を確認してみましょう。
** 表1 FWのフィルタリングルール
|項番|送信元|宛先|サービス|動作|
|1|プロキシサーバ|インターネット|HTTP, HTTPS|許可|
|2|メールサーバ|インターネット|SMTP|許可|
|3|DNSサーバ|インターネット|DNS|許可|
|4|インターネット|公開Webサーバ|HTTP, HTTPS|許可|
|5|インターネット|メールサーバ|SMTP|許可|
|6|インターネット|DNSサーバ|DNS|許可|
|7|PC|プロキシサーバ|代替HTTP|許可|
|8|PC|メールサーバ|SMTP, POP3|許可|
|9|PC|DNSサーバ|DNS|許可|
|10|全て|全て|全て|拒否|
注記1 J社で利用する主要なサービスのポート番号は、次のとおりである。
HTTP:80, HTTPS:443, 代替HTTP:8080, DNS:53, SMTP:25, POP3:110
注記2 項番が小さいものから順に、最初に一致したルールが適用される。
注記3 項番7~9の送信元PCには、RD-LAN上のPCは含まない。
- 図は省略しますが、OA-LANのPCはFWに繋がっているので、OA-LANの外と通信するにはFWが許可した通信しかできません。
ML3
- ML3による、&bold(){PCから攻撃者のサーバへのHTTP通信}はFWの項番1~9のどれにも該当せず、項番10にて拒否されます。そのため、ML3はML4のダウンロードに失敗します。
ML2
- ML2は、Zブラウザのバージョン2から取得したプロキシサーバの情報を利用して、PCからプロキシサーバに代替HTTP通信を行います。この通信はFWの項番7にて許可されます。
- プロキシサーバはPCの代理として攻撃者のサーバとHTTP通信を行い、ML4をダウンロードしPCに届けます。
- よって、ML4をダウンロードしたマルウェアはML2と言えます。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問1#設問1]]
* (1) マルウェアをダウンロードしたマルウェア名を答えよ。
>回答:ML2
* 解説
まず注目すべきは「表2 マルウェアの解析結果の概要」です。
** 表2マルウェアの解析結果の概要(抜粋)
|マルウェア名|特徴|
|ML1|・電子メールに添付された、ML1が埋め込まれているファイルをPDF閲覧ソフトで開くと、電子メールの本文の内容に関連するPDFファイルを表示するとともに、PDF閲覧ソフトの脆弱性を利用してOSの管理者権限を獲得し、&bold(red){ML2、ML3をOSのシステムフォルダに配置する。}|
|ML2|・利用者がZブラウザのバージョン2を利用している場合、Zブラウザを起動するとその脆弱性を利用して、Zブラウザのプロセスで動作する。Zブラウザを終了すると動作を停止する。Zブラウザがバージョン3の場合は、ML2ば動作しない。&br()&br()・Zブラウザで設定されているプロキシサーバのIPアドレス、ポート番号、及びプロキシサーバでの認証の際に利用者が入力した認証情報を窃取し、OSのシステム情報格納領域に保持する。&br()&br()・攻撃者が用意しておいた数十のWebサーバ(以下、攻撃者のサーバという)に対して、プロキシ・サーバ経由でHTTP通信を試みる。通信に成功すると、&bold(){ML4をダウンロードしてOSのシステムフォルダに配置する。}|
|ML3|・OSのシステムフォルダに配置されると、攻撃者のサーバに対して、HTTP通信を試みる。通信に成功すると、&bold(){ML4をダウンロードしてOSのシステムフォルダに配置する。}|
- 攻撃の起点となるML1が実行されると、ML2とML3がシステムフォルダに展開されます
- ML2とML3に「ML4をダウンロードしてOSのシステムフォルダに配置する」とあるので、ML4をダウンロードするマルウェアはML2かML3のどちらかに絞られます。
次に、ML2とML3の違いを見ていきます。
**ML2とML3の違い(設問に対して重要なところだけ)
ML2
>- Zブラウザのバージョン2を利用している場合、Zブラウザに設定されているプロキシサーバの接続情報を保存
>- 攻撃者のサーバにプロキシサーバ経由でHTTP通信でML4をダウンロードする
ML3
>- 攻撃者のサーバに対してHTTP通信経由でML4をダウンロードする
これだけでも、ML2の方が手が込んでいてML2が正解のような気がしてきますが、もう一歩ファイアウォールの設定を確認してみましょう。
** 表1 FWのフィルタリングルール
|項番|送信元|宛先|サービス|動作|
|1|プロキシサーバ|インターネット|HTTP, HTTPS|許可|
|2|メールサーバ|インターネット|SMTP|許可|
|3|DNSサーバ|インターネット|DNS|許可|
|4|インターネット|公開Webサーバ|HTTP, HTTPS|許可|
|5|インターネット|メールサーバ|SMTP|許可|
|6|インターネット|DNSサーバ|DNS|許可|
|7|PC|プロキシサーバ|代替HTTP|許可|
|8|PC|メールサーバ|SMTP, POP3|許可|
|9|PC|DNSサーバ|DNS|許可|
|10|全て|全て|全て|拒否|
注記1 J社で利用する主要なサービスのポート番号は、次のとおりである。
HTTP:80, HTTPS:443, 代替HTTP:8080, DNS:53, SMTP:25, POP3:110
注記2 項番が小さいものから順に、最初に一致したルールが適用される。
注記3 項番7~9の送信元PCには、RD-LAN上のPCは含まない。
- 図は省略しますが、OA-LANのPCはFWに繋がっているので、OA-LANの外と通信するにはFWが許可した通信しかできません。
ML3
- ML3による、&bold(){PCから攻撃者のサーバへのHTTP通信}はFWの項番1~9のどれにも該当せず、項番10にて拒否されます。そのため、ML3はML4のダウンロードに失敗します。
ML2
- ML2は、Zブラウザのバージョン2から取得したプロキシサーバの情報を利用して、PCからプロキシサーバに代替HTTP通信を行います。この通信はFWの項番7にて許可されます。
- プロキシサーバはPCの代理として攻撃者のサーバとHTTP通信を行い、ML4をダウンロードしPCに届けます。
- よって、ML4をダウンロードしたマルウェアはML2と言えます。
[[設問に戻る>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問1#設問1]]