資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後１/問１設問１－１ - ちゃぱてぃ商店IT部 @ ウィキ

(1)　マルウェアをダウンロードしたマルウェア名を答えよ。

回答：ML2

解説

重要なヒント

(3)　DMZは、公開Webサーバ、プロキシサーバなどで構成されている。プロキシサーバは、ブラックリストに登録したURLへのWebアクセスを遮断するフィルタリング機能をもっているが、Ｊ社では何も登録していない。

赤字のところで、問題文を読みながら怪しい…と思えればしめたものです。

次に注目すべきは「表２　マルウェアの解析結果の概要」です。

表２マルウェアの解析結果の概要（抜粋）

マルウェア名	特徴
ML1	・電子メールに添付された、ML1が埋め込まれているファイルをPDF閲覧ソフトで開くと、電子メールの本文の内容に関連するPDFファイルを表示するとともに、PDF閲覧ソフトの脆弱性を利用してOSの管理者権限を獲得し、ML2、ML3をOSのシステムフォルダに配置する。
ML2	・利用者がＺブラウザのバージョン２を利用している場合、Ｚブラウザを起動するとその脆弱性を利用して、Ｚブラウザのプロセスで動作する。Ｚブラウザを終了すると動作を停止する。Ｚブラウザがバージョン３の場合は、ML2ば動作しない。 ・Ｚブラウザで設定されているプロキシサーバのIPアドレス、ポート番号、及びプロキシサーバでの認証の際に利用者が入力した認証情報を窃取し、OSのシステム情報格納領域に保持する。 ・攻撃者が用意しておいた数十のWebサーバ（以下、攻撃者のサーバという）に対して、プロキシ・サーバ経由でHTTP通信を試みる。通信に成功すると、ML4をダウンロードしてOSのシステムフォルダに配置する。
ML3	・OSのシステムフォルダに配置されると、攻撃者のサーバに対して、HTTP通信を試みる。通信に成功すると、ML4をダウンロードしてOSのシステムフォルダに配置する。

• 攻撃の起点となるML1が実行されると、ML2とML3が展開されます
• ML2とML3に「ML4をダウンロード」とあるので、ML2かML3のどちらかに絞られます。
• ML2はＺブラウザのバージョン２を利用している時に活動＋Ｚブラウザのプロキシ情報を利用して通信します。
• ML3はＺブラウザとは無関係にプロキシサーバを利用せず通信します。

ここまで読んだだけでML2が正解だと書きたくなりますが、焦らずにFWのフィルタリングルールを確認します。

表１　FWのフィルタリングルール

項番	送信元	宛先	サービス	動作
1★	プロキシサーバ	インターネット	HTTP, HTTPS	許可
2	メールサーバ	インターネット	SMTP	許可
3	DNSサーバ	インターネット	DNS	許可
4	インターネット	公開Webサーバ	HTTP, HTTPS	許可
5	インターネット	メールサーバ	SMTP	許可
6	インターネット	DNSサーバ	DNS	許可
7★	PC	プロキシサーバ	代替HTTP	許可
8	PC	メールサーバ	SMTP, POP3	許可
9	PC	DNSサーバ	DNS	許可
10★	全て	全て	全て	拒否

• 図は省略しますが、OA-LANのPCはFWに繋がっているので、OA-LANの外と通信するにはFWが許可した通信しかできません。

• ML3による、{PCから攻撃者のサーバへのHTTP通信はFWの項番１～９のどれにも該当せず、項番１０にて拒否されます。そのため、ML3はML4のダウンロードに失敗します。

• ML2は、Ｚブラウザのバージョン２から取得したプロキシサーバの情報を利用して、PCからプロキシサーバに代替HTTP通信を行います。
  • プロキシサーバのブラックリストには何も登録されていないのでプロキシサーバは通信を許可します。
  • プロキシから攻撃者のサーバへの通信はFWの項番７にて許可されます。
  • プロキシサーバはPCの代理として攻撃者のサーバとHTTP通信を行い、ML2によるML4のダウンロードは成功します。

文章は長いですが、設問と問題をよく読めば解ける問題です。がんばりましょう。

設問に戻る