テクニカルエンジニア(情報セキュリティ)平成20年度試験問題(午後1問1)
問1 ボット感染とその対策に関する次の記述を読んで,設問1〜3に答えよ。
A社は,従業員数300名の電子機器製造販売会社である。A社では,IPアドレスとドメイン名を取得して,業務用ネットワークを自社で管理している。
ある日,A社から迷惑メールが送信されているとの指摘を複数社から受けた。そこで,システム管理部門のY主任とX君がA社の業務用ネットワークの調査を進めることになった。A社の業務用ネットワークの構成を図1に示す。
〔迷惑メールの解析と送信防止策〕
Y主任とX君は,迷惑メールを受け取った各社から該当する迷惑メールのコピーをファックスで受け取り,解析を始めることにした。
| X君 | :V社からファックスで受け取った迷惑メールのヘッダ情報は図2のとおりです。Return-Pathに示される送信者は当社とは関係ありませんが,なぜV社は,当社から送信されていると指摘してきたのでしょうか。 |
| Y主任 | :メールのヘッダ情報は送信者によって詐称できます。Return-Path以外にも,[ a ]の箇所が詐称されている可能性があります。 |
| X君 | :なるほど。それ以外のヘッダ情報から,当社が管理するNAT変換用に割り当てられたグローバルアドレスから迷惑メールが送信されたと確認できます。 |
| Y主任 | :ほかの会社から送られてきたヘッダ情報にも,共通した特徴がありますね。 |
| X君 | :各社に送信された迷惑メールを確認すると,メールごとに本文やあて先が変化していますが,当社の従業員が故意に迷惑メールを送信しているのでしょうか。 |
| Y主任 | :そのようにも考えられますが,社内PCがボットに感染して,外部から制御されている可能性もありますね。 |
| X君 | :しかし,当社のFWはインターネットから社内LANに向けた通信を制限しており,ボットに感染した社内PCを外部から制御することはできないはずです。 |
| Y主任 | :確か,社内LANからインターネットに向けた通信はすべて許可されていましたね。ボットは,自身から外部の指令サーバに向けた通信を行い,制御を受けることがあります。 |
| X君 | :なるほど,分かりました。 |
| Y主任 | :まず,当社から送信される迷惑メールを止めなければなりません。迷惑メールの送信には,ボット自身がメール送信機能をもっていて,直接外部のメールサーバに送信する場合と,DMZ上のメールサーバを利用して送信する場合とがあります。 |
| X君 | :前者に対しては,FWの制御ルールに,〔1〕図3に示す新たな制御ルールを追加することにします。後者に対しては,メールサーバに[ b ]又は[ c ]のいずれかの方式を適用します。これらの対策は,PCに保存されているメールサーバのアカウント情報を盗用しないボットには有効です。 |
| Y主任 | :[ b ]方式には社内PCのメールソフトが対応していません。PCのメールソフトが対応していなくても利用できる[ c ]方式を適用してください。 |
〔ボットに感染したPCの追跡〕
Y主任とX君は,迷惑メールの送信防止策の実施を完了した。
| X君 | :これで安心ですね。 |
| Y主任 | :いいえ。ボットを放置しておくと,ほかのPCへの感染活動や[ d ]攻撃を行うボットネットに加担し続けることになり,他者に迷惑をかけてしまいます。社内LAN上のボットを早急に追跡しなければなりません。 |
| X君 | :それでは,ボットが外部から指令を受けるときの通信に注目して追跡することにします。ボットが利用する通信プロトコルは何でしょうか。 |
| Y主任 | :多くの場合,Internet Relay Chat(IRC)を使って通信が行われているようです。大抵のIRC通信は,TCPポート6667を使っています。当社には,パケットの収集と解析を行うネットワークアナライザが1台ありますので,〔2〕図1中の適切な箇所に設置してIRC通信の監視を始めてください。 |
X君はY主任の指示に従い,まず,ネットワークアナライザの設置箇所を通過するすべてのパケットを3日分収集した。
| X君 | :収集したパケットを解析した結果,TCPポート6667を使ったパケットを発見できましたが,指令を含むIRC通信は見つかりませんでした。 |
| Y主任 | :ボットには,指令を含む通信の発見を逃れるために,通信を暗号化するものや通信ポートを変えるものもあります。後者については,〔3〕社内LANからインターネットに向けた通信ポートの制限をFWに適用できれば,指令を含む通信を遮断できるのですが,適用できない場合があります。 |
| X君 | :ところで,当社のすべてのPCにはウイルス対策ソフトがインストールされています。指令を含む通信を発見できないのは,既に駆除されているからではないでしょうか。 |
| Y主任 | :それはありません。当社のウイルス対策ソフトの稼働状態とウイルス検知状況はシステム管理部門によって管理されています。現時点で,すべてのウイルス対策ソフトは定期的にパターンファイルが更新された状態で稼働しているということが分かっていますが,ボットを検知したという報告はありません。 |
| X君 | :それではなぜ,ウイルス対策ソフトで発見できないのでしょうか。 |
| Y主任 | :最近のボットには,自身の発見を逃れるために迷惑メールの送信頻度を抑える機能や,〔4〕パターンマッチング方式のウイルス対策ソフトによる検知を難しくする仕組みをもつものがあります。また,〔5〕rootkitのように,関連するファイルやプロセス情報をOSから見えなくする仕組みをもつものもあります。 |
その後,Y主任とX君はパケット解析を更に進めた結果,ボットに感染したPCを特定することができた.そのPCは,従業員によってOSの自動更新機能が無効になっていたことが判明したので,A社では,社内PCのOSの自動更新機能は必ず有効にするよう徹底した。
設問1 迷惑メールの解析,ボットの脅威,ネットワーク監視について,(1)〜(3)に答えよ。
| (1) | 本文中の[ a ]に入れる該当箇所を図2中の下線(i)〜(iv)からすべて選び,記号で答えよ。 | ||||
| (2) |
本文中の[ d ]に入れる適切な字句を解答群の中から選び,記号で答えよ。 解答群
| ||||
| (3) | 本文中の下線〔2〕で,ネットワークアナライザを設置するのに適切な箇所を,図1の(p)〜(s)から一つ運び,記号で答えよ。 |
設問1の正解と解説へ
設問2 迷惑メールの送信防止策について,(1),(2)に答えよ。
| (1) |
本文中の下線〔1〕の新たな制御ルールとして,図3中の[ I ]〜[ III ]に入れる適切な字句を解答群の中から選び,記号で答えよ。また,図3中の[ α ]に入れる適切なプロトコル名を,英文字6字以内で答えよ。 I,IIに関する解答群
| ||||||
| (2) |
本文中の[ b ],[ c ]に入れる適切な方式を解答群の中から選び,記号で答えよ。また,それぞれの方式の仕組みを,35字以内で述べよ。 解答群
|
設問2の正解と解説へ
設問3 ボットに感染したPCによる被害の抑止と追跡について,(1)〜(3)に答えよ。
| (1) | 本文中の下線〔3〕について,Y主任が,FWに適用できない場合があるとしている理由を,50字以内で述べよ。 |
| (2) | 本文中の下線〔4〕について,ウイルス対策ソフトによる検知を難しくする仕組みを,20字以内で述べよ。 |
| (3) | 本文中の下線〔5〕について,rootkitがファイルやプロセスを見えなくする仕組みを,30字以内で述べよ。 |
設問3の正解と解説へ
メニューへ戻る