KEEP LEARNING

アウトプット至上主義

セキュリティインシデントの管理

f:id:food_blog:20200627021112p:plain

本記事ではセキスペ 過去問(H.30/秋 午後Ⅱ 問2)を例題として解説する中でセキュリティインシデントの理解を深めます。

※IPA公式サイトから実際の問題を使用しております。 

 

1.前提知識 

2.知識のインプット 

3.背景

サイバー攻撃の技術は高度化し、攻撃者の侵入を完全に防ぐことはますます困難になってきた。これに伴い、セキュリティインシデントとなりえる事象を素早く検知し、調査し、対処する能力の重要性が高まっている。

マルウェアの侵入に端を発した情報漏洩インシデントを題材として、インシデント対応をスムーズに行うための仕組みを検討して構築する能力と、ログやその他の情報を組み合わせて、インシデントの全容を整理し、理解する能力を問う。

 

4.過去問の要約

f:id:food_blog:20200627000611p:plain

 

f:id:food_blog:20200627000652p:plain

f:id:food_blog:20200627000726p:plain

f:id:food_blog:20200627000814p:plain

f:id:food_blog:20200627000856p:plain

f:id:food_blog:20200627000941p:plain

f:id:food_blog:20200627001022p:plain

f:id:food_blog:20200627001101p:plain

f:id:food_blog:20200627001140p:plain

f:id:food_blog:20200627001222p:plain

f:id:food_blog:20200627001324p:plain

5.解説

〔早期に取り組みべき事項の取りまとめ〕

図4中のa,bには以下が入ります。

a:侵入検知

b:教育と意識向上

NIST SP 800-61 Rev.2には以下の4項目が挙げられています。

  • 侵入検知
  • アドバイザリの配信
  • 教育と意識向上
  • 情報の共有

NIST SP 800-61 Rev.2ではインシデント対応ポリシとして以下の8項目があります。

  • マネジメント層の責任表明
  • 本ポリシの目的と目標
  • 本ポリシの適用範囲
  • インシデントと関連用語の定義
  • 組織構造、ならびに役割、責任及び権限レベルの定義
  • インシデントについての優先順位付け、または深刻度評価
  • パフォーマンス測定
  • 報告と連絡の様式

 

〔インシデント対応能力の向上への取り組み〕

 

取得するログについての要件

  • ログを取得する機器(f)について
  • 取得するログの種類(g)について

取得したログについての要件

  • 保存期間(h)について

図3(6)に開発部が管理する機器のうちログを取得していたのは少数だった。また、取得していたログの種類や保存期間にばらつきがあった。と記載があるので取得するログの要件としては取得する機器、ログの種類となります。

hに関しては同様に保存期間にばらつきがあると記載があることから保存期間が適切となります。

 

i,jには以下が入ります。

本文中にログ管理ポリシの適用対象は社内のすべての機械であると記載があり、さらに

A社は海外にも工場を保有しているので、タイムゾーン(i)を統一(j)が適切です。 

 

管理する機器について、通常時のネトワークトラフィック量や日、週、月、年の中でその推移の情報の把握に努める 

 上記、取得したプロファイルを利用し、ネットワークのトラフィック量を比較して以上を検知することができます。

 

〔マルウェアについての通知〕

業務用PC-LANに接続されているPCであるPC-Aが特定のサイトMにアクセスし

 以下の方法でサイトMにアクセスしたPCを特定できます。

プロキシーサーバのログからアクセス先がサイトMのエントリを抽出し、このエントリからPC-AのIPアドレスを取得できます。

本文中から業務PCはプロキシサーバを経由すること、DMZ以外に設置された機器には固定のIPアドレスが付与されているという記載から上記が説明できます。

 

PC-Aが特定のサイトにアクセスし、その後頻繁に同じサイトにアクセスを繰り返す 

 マルウェアはHTTPリクエストとHTTPレスポンスに置いて以下の行為を行なっています。

HTTPリクエスト:C&Cサーバへのコマンド要求

HTTPレスポンス:C&Cサーバからのコマンド受信

表1からnew3.exeは遠隔操作の機能を持ち、実行されるとIPnのサイトにアクセスして、そのレスポンスにしたがって動作するとの記載があることからマルウェアはC&C通信を行なっていることが

読み取れます。

 

PC-Aをネットワークから切断して

この行為は調査の観点から見ると以下の問題があります。

PCのネットワークインターフェースの通信の状態についての情報が失われる。

通常、ネットワークインターフェースの情報はメモリ上で管理されているのでヘットワークから切断すことでメモリ上の情報が失われてしまう問題があります。

この問題を防ぐためにはメモリダンプを取得する等の対応でメモリ情報を保管する必要があります。

 

本文中のkには以下が入ります。

プロキシサーバのログから、IPnのサイトにアクセスした機器が他にないか

 

Dさんの利用者IDでのログイン試行が複数あり一部は失敗し、一部は成功していた 

 Dさんの利用者IDを用いたPC-Bへ最初のログインに成功したのは本文文中の9月5日10時35分から45分までに一部ログインに成功していることからlastコマンドの実行結果より9月5日10時41分にログインに成功していることがわかります。

また、10時35分から45分までの間でログイン失敗の履歴lastbから7回ログインに失敗していることがわかります。

 

本文中のlには以下が入ります。

l:ハッシュ値

本文中に記載のあるファイル名は異なるものの同じ内容のファイルが見つかったとの記載からハッシュ値が適切となります。

 

当該ファイルが社外に送信された可能性がある

ファイルの社外への送信を示す記録は図6の28行目です。

PC-Aに9月8日3時35分にファイルAと同じファイルが作成されていたことから9月8日3時35分以降に社外へ送信されたことがわかります。また、ファイルの送信の場合はPOSTメソッドになるため28行目であることがわかります。

 

また、プロキシサーバまたはFWが取得できる情報のうちファイル送信の有無を判断すのに以下の情報が役立ちます。

プロキシサーバがインターネットに送信したデータのサイズ

対象のファイルサイズは既に特定されていることからそのファイルと同容量の通信が行われていればファイルの送信が実施された可能性が高いと言えます。