情報セキュアド 平成13年度試験 問題(午後1 問1)
問1 不正侵入対策に関する次の記述を読んで,設問1〜4に答えよ。
X社は,ソフトウェアの開発及び販売を行っている中堅のソフトウェア会社である。X社には,ソフトウェアの開発を行う部署として開発部がある。開発部に所属する社員には,クライアントマシンとして最低一人1台のパソコンが与えられており,さらに,個々の開発課ごとに1台のサーバが設置されている。
各パソコン及びサーバは,すべてLANに接続されている。開発部のLANは,他部署のLANとともにファイアウォールを介してインターネットに接続されている。加えて,開発部のLAN上にはリモートアクセスサーバ(以下,RASという)が設置されており,開発部の社員が自宅や外出先から社内のサーバにアクセスするために利用されている。RASには開発部のほぼ全社員がアカウントをもっている。RASへのログインに際しては,アカウント名とパスワードによる認証が必要であるが,それ以外のアクセス制限は行われていない。
X社のネットワーク構成を図に示す。
X社には,ネットワークやサーバの情報セキュリティ管理を行う専門の部署はない。また,社内ネットワーク及びインターネットについての利用規程はあるものの,禁止事項を幾つか列挙しただけのものであり,全社的な情報セキュリティポリシは存在しない。結果として,ネットワークや各サーバの情報セキュリティ管理については,社員の知識や良識に強く依存している。
社員に与えられたパソコンは,その社員自身が管理を行うことになっており,各開発課のサーバについては,その開発課のメンバのうち1,2名が管理者として任命されている。また,ネットワーク機器やRASといった開発部内の共有リソースについては,各機器についての知識の豊富な社員が開発部全体から選ばれて管理を任されている。RASについては,現在,開発1課のY係長が管理者になっている。
〔不正侵入の発生と検知〕
V君は,開発部の開発1課に所属するプログラマである。本来の業務であるプログラミングのほか,開発1課のサーバ1の管理も担当している。
V君はある日,サーバ1上で利用している開発ツールの不具合について調査するため,サーバ1上のログをチェックしていた。そのとき,E課長のアカウントによるサーバ1へのログインの試みが数回記録されているのに気が付いた。E課長はV君とは別の開発2課のメンバであり,サーバ1上にアカウントをもっていない。そのため,ログインの試みはすべて失敗していた。V君は,このアクセスを不審に思ったが,操作ミスのたぐいであって大した問題ではないと判断し,サーバ1に実害がなかったこともあって,上司への報告はしなかった。
それから10日ほど経ったころ,開発2課のサーバ管理者であるK主任は,開発2課のサーバ2に,病欠中のE課長がログインしているのを発見した。不審に思ったK主任が直ちにE課長の自宅に電話で確認したところ,E課長本人はログインしていないとのことであった。そのため,だれかがE課長のアカウントを不正に利用していることが明らかになった。不正利用されているE課長のアカウントがRASからログインされていることを確認したK主任は,Y係長に連絡した。
〔開発部の対処作業〕
Y係長は,侵入者が公衆電話網からアクセスしてきていることを確認の上,RASを[ a ]から切り離した。続いて,各開発課のサーバ管理者に不審なアクセスの記録がないかどうか調査するよう連絡するとともに,開発部の全社員に対して,早急に各自のもつすべてのパスワードを変更するように通知した。
一方,K主任は,サーバ2を[ b ]から切り離した上で,(1)現状のディスクの内容をテープに保存した。その後,サーバ2上に保存されている開発中のプログラムや各種ドキュメントに対する改ざんや破壊の有無を調査した。その結果,開発中の複数のプログラムにでたらめな文字列が書き込まれていたことが判明した。K主任は,改ざんされたプログラムをバックアップテープから[ c ]して,対処作業を終了した。
ほかの開発課のサーバに関しては,V君が発見したのと同様にE課長のアカウントによるログインの試みが記録されていた。しかし,いずれのサーバにもE課長のアカウントが存在しないので,それらの試みはすべて失敗していた。よって,実際に不正侵入されたのはサーバ2だけであろうと考えられた。
〔原因究明〕
Y係長がRASのアクセスログを調べたところ,10日ほど前にE課長のアカウントを始めとして,複数のアカウントに対するログインの失敗がまとまって記録されていることが判明した。E課長以外のアカウントに関しては,いずれも10回ほどの失敗が記録されているだけなのに対し,E課長のアカウントについては,3回の失敗の後,ログインに成功していた。Y係長は,E課長が容易に推測可能なパスワードを利用していたので,アカウントを不正利用されたのではないかと考えた。
その後の調査で,ログインの失敗が記録されていた日とV君が不審なアクセスを発見した日が同じであったこと,及びE課長のパスワードがE課長のアカウント名を逆順にしただけのものであったことが判明した。
〔トラブルの再発〕
K主任が対応作業を終了してから数日後,Y係長あてに,“あなたのサイトのものと思われるXXX.XXX.XXX.XXXというIPアドレスをもつマシンからポートスキャンをされている。早急な対処を願う”という内容の電子メール(以下,メールという)が届いた。メールの送信者によれば,WHOISデータベースでX社のドメイン名を調べ,技術担当者として登録されているY係長のメールアドレスにメールを送信したとのことである。この抗議メール自体がいたずら又は勘違いによるものである可能性も考えられたが,Y係長は,念のため,調査を開始することにした。
メール本文に記述されたIPアドレスは,X社のファイアウォールのものであった。X社は,ファイアウォールで[ d ]を実施しているので,社内LAN上にあるすべてのマシンが社外へのアクセスに際してこのIPアドレスを使用することになる。
調査の結果,サーバ2上のNTPサーバが,別のプログラムと入れ替えられており,これが社外のサイトに対してポートスキャンを行っていることが判明した。E課長のアカウントを不正利用した侵入者が,管理者権限を不正に取得した上で“トロイの木馬”を残していったものと考えられた。K主任は,(2)正常なNTPサーバを再インストールすることによって対処した。
Y係長は,抗議メールの送信元へ,原因が“トロイの木馬”であり,それを除去することによって対処したことを付記した謝罪のメールを返信した。
〔事故の報告〕
今回の事故の報告を上司のZ課長から求められたY係長は,事故の経緯と対処作業について報告書にまとめるとともに,不正侵入の早期発見のための技術的対策として監視ツールの導入提案を報告書に付記した。Z課長は,たとえ監視ツールを導入したとしても,(3)管理者が,今回の事故におけるV君のような対応を取った場合には,十分な効果が望めないと考えた。そこで,根本的な対策のためには全社的な情報セキュリティポリシの策定と社内体制の整備が急務であるとの意見書を作成し,Y係長の報告書とともに開発部長へ提出した。
設問1 本文中の[ a ]〜[ d ]に入れる適切な字句を,それぞれ8字以内で答えよ。
設問1の正解例と解説へ
設問2 Y係長が,既にパスワードが漏えいしているE課長だけでなく,全社員にパスワードの変更依頼を通知したのはなぜか。その理由を30字以内で述べよ。
設問2の正解例と解説へ
設問3 サーバ2への対処に関する次の問いに答えよ。
| (1) | K主任が下線(1)の作業を行った理由を20字以内で述べよ。 |
| (2) | 下線(2)の作業だけでは、“トロイの木馬”への対処として不十分である。その理由と、本来とるべき対処作業をそれぞれ30字以内で述べよ。 |
設問3の正解例と解説へ
設問4 Z課長が下線(3)のように考えた理由を30字以内で述べよ。
設問4の正解例と解説へ
メニューへ戻る