Commentary for the Autumn 2019 Examination for Information Technology Professionals

1. 令和元年秋期
標的型サイバー攻撃
1

2. 2
まずは一緒に読みましょう

3. 3

4. 用語１
【ＰＯＰ３】
• 『Post Office Protocol バージョン３』
• メールサーバが受信したメールを
閲覧するときに、
メールサーバからダウンロードする方法
（榊原的解釈）
• OCNのメールサーバを利用する
• でもメールソフトはOutlook
• OCNのメールサーバのメールをOutlookで
ダウンロードして閲覧する
• （ちなみに）【IMAP】はメールサーバの
メールを直接見に行く方法
• 榊原的解釈だと、Yahoo!!メールやGmail
のようなイメージ（多分ちょっと違う）
4

5. 用語２
【ＳＭＴＰ】
• 『Simple Message Transfer Protocol』
• メールを送信するときに必要なルール
（POPやIMAPは『受信』のルール）
• POPやIMAPが受信するときに『受信サーバ』から取り出すように、
STMPは『送信サーバ』にメールを入れる役割をしている
5

6. 用語３
【ファイヤーウォール】
• 火の手を防いで延焼を食い止める『防火壁』
• ＜前提＞ネットワークを利用するには、その通信に必要な
『ポート番号』という番号を付けて送受信する必要がある
• （例）
HTTP（インターネット閲覧）なら80番
SMTP（メール送信）なら587番
POP3（メール受信）なら110番
• 通信に必要のないポート番号は、閉じておかないと
ウイルスを通過させる原因となってしまう
• ファイヤーウォールは不要なポート番号を閉じる働きを持つ
6

7. 用語４
『社内情報共有のためのポータルサイト用に、
社内LAN上のWebサーバを利用している。』
→【イントラサイト】
• 『Yahoo!!』『Google』のような誰もがアクセスできるサイトではなく、
社員用のホームページのようなもの
• このようなサイトのことを『イントラサイト』などという
• 社内関係者だけが見れるようにしたい（社外には見せたくない）ので
Webサーバを社内LANに設置している
• ※大企業なんかだと必ずあるよ！
7

8. 用語５
【DMZ】
• DeMilitarized Zone
• 『非武装地帯』
• 『武装』とは、ファイヤーウォールやセキュリティで
守られている状態を現わしている
• 『非武装地帯』は、例えば『Yahoo!!』の会社が用意したホームページや
メールサーバなど、組織内部と外部の接触点となる領域のこと
• DMZのセキュリティを上げすぎると外部からアクセスしにくくなるし、
セキュリティを下げすぎるとウイルスが入ってきやすくなる
8

9. 9
まずは一緒に読みましょう

10. 10

11. 『図１ P社のネットワーク構成（一
部）』の解説
• 社内LAN内にイントラサイトが構築されたWebサーバがある
（つまりHPとかは作ってない）
• DMZ内にメールサーバがある
• （余談ですが）FWの設定はDMZと社内LANで以下のように設定を変えている
と思われる
11
ＦＷの設定 社内ＬＡＮ ＤＭＺ
ＳＭＴＰ 通さない 通す
ＰＯＰ３ 通す 通さない

12. 12
まずは一緒に読みましょう

13. 13

14. 用語６
【メールの『ヘッダ』】
• 受け取ったメールに付属している情報のこと
• 送信元からどのような経路で宛先に届いているかを知ることができる
14

15. 用語７
【ドメイン】
• インターネットにおける『住所』
15
問題文では『このドメインがＰ社のものではなかった』
と言っています。

16. 用語７
【プロセス】
• ＰＣが実施している『処理』の実行単位
• Windowsであれば『タスクマネージャー』から確認できる
16

17. 用語８
【ＳＳＨ】
• 『Secure Shell』の略
• 遠隔にあるサーバをリモートで接続する手段の名前
• SSHのポート番号22は、ファイヤーウォールなどでは基本的に閉めておき、
必要時に開けるなどのセキュリティ対策が必要。
（普段は閉めておかないと、悪意のある人が操作できたとき、サーバをコン
トロールされてしまう）
17

18. 用語９
【標的型サイバー攻撃】
• 重要情報の入手を最終目標として、時間、手段、手法を問わず、
目的達成に向け、特定の組織を攻撃対象として、
その標的に特化して継続的に行われる一連の攻撃を指す
18

19. 19
まずは一緒に読みましょう

20. 20

21. 表１について
• ＦＷによる遮断
• ＨＴＴＰ（ポート：８０）とＨＴＴＰＳ（ポート：４４３）以外を遮断することで、
ＳＳＨをはじめとした標的型サイバー攻撃に使用される通信を防ぐことができる。
（『インターネットへのアクセスには』とあるので、メールは例外）
（今回はこれによりセキュリティ事故を防げた）
• ＰＣへのマルウェア対策ソフトの導入
• ＬＡＮを人体としてみた時、ＦＷが『マスク』、アンチウイルスソフトが『薬』と
例えられることが多い。
• 二重でマルウェア対策をすることでセキュリティを強化する。
21

22. 22
まずは一緒に読みましょう

23. 23

24. 用語１０
送信ドメイン認証
→【ＳＰＦ】
• 『Sender Policy Framework』
• 受け取ったメールが『なりすまし』で無いかを確認する手段
• 受け取ったメールの『ドメイン』と『ＩＰアドレス』を
公開されている『ＳＰＦレコード』と比較して一致しているか検証する
24

25. 用語１１
【プロキシサーバ】
• プロキシ＝『代理』
• 例えば『Yahoo!!』のHPを見るとき、個人PCから直接アクセスするのではなく、
プロキシサーバを中継させることで以下のメリットがある。
• プロキシ上にアクセスログが残る
• 仮にウィルスがいても社内LANが守られる
• 全てのアクセスを代理で行うため、
個人端末の匿名性が確保される
• 『利用者認証』をすることで、社内LAN内
PCでもID/Passを知っている端末しか
インターネットへアクセスできない。
25
プロキシサーバ

26. 用語１２
【ＵＲＬフィルタリング】
• 特定のURLやカテゴリーによって、アクセスを許可もしくは
禁止するサイトのリストを作る
• そのリストを使ってアクセスを制限したり、
サイトの安全性の格付けに用いる。
• 『ホワイトリスト式』『ブラックリスト式』がある
• 『水飲み場攻撃』の防止を期待できる
26

27. 用語１３
【水飲み場攻撃】
• サバンナの水飲み場に現れる草食獣をまちぶせすることになぞらえている。
• 個人が頻繁に利用しているサイトを改ざんし、ウィルスを忍ばせておき、
ターゲットが来訪したら、ウイルスに感染させる攻撃手法。
• PCの脆弱性を突いて、悪意のあるWebサイトへの接続を契機にマルウェアが秘密
裏にダウンロードされることもある。
• 感染させる技術は『ドライブバイダウンロード』を使っている。
27

28. 用語１４
【ドライブバイダウンロード】
28
• Webサイトにマルウェアを仕込んでおき、アクセスした利用者に気付かれない
ように、それらのダウンロードや自動実行をさせる攻撃を
ドライブバイダウンロードと言う。

29. 29
まずは一緒に読みましょう

30. 30
まずは一緒に読みましょう

31. 31

32. 用語１５
【Ｃ＆Ｃサーバ】
• 『Command and Control server』
• ウイルスに感染したコンピュータが属するネットワークに対し、
不正なコマンドを遠隔で頻繁に送信するために利用されるサーバの総称
32

33. 33
問題①

34. • 設問１（１）
• マルウェアの感染が判明したときは、まず最初に
『パソコンのLANケーブルを抜く』
『無線LANのスイッチを切る』
などの方法で、社内のネットワークから被疑PCを
切り離すべき。
この処置には、マルウェアがネットワークを介して感染を
広めたり、攻撃のために通信をするものだった場合に、
ネットワーク上の他の機器との通信を阻止する目的が
ある。
この処置により、マルウェアの被害を最小限に留めることが
できる。
∴社内の他の機器と通信させないため
34
解説①

35. • 設問１（２）
• P社のFWでは、PCからのインターネットアクセスに
HTTPとHTTPSだけを許可している。一方、マルウェアは
SSHを使ってインターネット上の特定のサーバと通信を
試みていたとある。
• マルウェアは感染したPCからSSHを使って
インターネット上の特定のサーバと通信をします。
SSHを使ったインターネットアクセスはFWによって
遮断されるため、特定のサーバとの通信が
失敗していたと判断できる。
∴FWでアクセスが許可されていないから
35
解説①

36. • 設問１（３）
• 社内LAN全体として「被害がなかった」と判断できた理由に
ついて。
• もし、ネットワーク上の他の機器にもマルウェア感染が広
がっていたとしたら、
マルウェアは被疑PCと同じようにインターネット上の
悪意のあるサーバとのSSH通信を試みるはず。
• FWのログには
『送信元のIPアドレス及びポート番号』
『宛先のIPアドレス及びポート番号』
が記録されているため、FWのログに残された不審なSSH通信
の送信元IPアドレスを分析することで、他に感染したPCが存
在するかどうかを確認できる。
∴FW
36
解説①

37. • 設問２（１）
• 『Sender Policy Framework』
• 受け取ったメールが『なりすまし』で無いかを確認する手段
• 受け取ったメールの『ドメイン』と『ＩＰアドレス』を
公開されている『ＳＰＦレコード』と比較して一致している
か検証する
37
解説①

38. • 設問２（２）
• cについて、前ページより。
∴送信元メールアドレスのなりすまし
• dについて
今回の事例でマルウェアからC&Cサーバへの通信を遮断でき
たのは、マルウェアがSSHで通信をしていたから。
もし、マルウェアがFWで許可されているHTTP又はHTTPSを
使用して通信を行うものであった場合には、
C&Cサーバとの通信が成功していたことになる。
∴HTTP又はHTTPS
38
解説①

39. 39
問題②

40. • 設問２（３）
• 先述した『水飲み場攻撃』について、
実施するとしたら、
『よくアクセスするWebサイト』になる。
∴ア：P社従業員が良く利用するサイト
• 設問２（４）
• 導入するプロキシサーバは
「利用者IDとパスワードによる利用者認証を導入する」
と記載があるため、
もしこれらを窃取する機能があった場合は利用者認証を突破
され、HTTP・HTTPSによる標的型サイバー攻撃を防ぎきれな
い可能性があった。
∴エ：プロキシサーバの利用者認証情報を窃取する機能 40
解説②

41. 41
問題③

42. • 設問２（５）
• 不審なメールに気が付いたときには、返信、添付ファイルの
開封、URLリンクを開くなどをせずに、自組織のインシデン
ト対応部署やセキュリティ担当に報告し、指示を仰ぐのが適
切な対応である。
∴イ：不審なメールが届いたことをP社の情報システム担当に
連絡する。
42
解説③