今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は2.9章:マルウェアによる攻撃のCheck問題です。
【Q1】マルウェア、PUAにはどのような種類があるか。
マルウェアの種類
①コンピュータウイルス
②ワーム
③トロイの木馬
④悪意のあるモバイルコード
⑤スパイウェア
⑥ボット
⑦ランサムウェア
⑧ドロッパ
PUAの種類
①アドウェア
②リモート管理ツール
③脆弱性検査ツール
【Q2】通信経路上で行うマルウェア対策とエンドポイントで行うマルウェア対策を挙げよ。
通信経路上で行うマルウェア対策
①メール検査型のアンチウイルス・アンチスパムツールでメールに添付されたマルウェアやスパイメールを遮断する
②メール検査型のサンドボックス製品でメールに添付された不審なファイルや本文中のリンクからマルウェアを検知して遮断する
③コンテンツフィルタリングツールやWeb検査型のAVツールで有害/不適切なWebサイトへのアクセスや不審なコード/ファイルのダウンロードを防ぐ
④認証機能やアクセス制御機能を備えたプロキシサーバにより不審なアクセスを遮断する
⑤Web検査型のサンドボックス製品でマルウェアを検知する
⑥RBIでブラウザの実行環境をPCから分離することで、Webアクセスにより感染したマルウェアの被害がPCに及ぶのを防ぐ
⑦RBIでブラウザの実行環境をPCから分離することで、PCやサーバに保存された情報が流出するのを防ぐ
⑧ファイアウォールで許可されていない外部への通信を遮断する
⑨IPSで不審な通知を検知し、遮断する
エンドポイントで行うマルウェア対策
①すべてのコンピュータにAVツールを導入し、ウイルス定義ファイルを毎日更新するとともに、振る舞い検知型のAVツールも併用する。
②OSや使用しているソフトウェアのバージョンを最新にするとともに、最新のパッチを適用する
③パーソナルファイアウォールにより、インターネットとの通信を許可するプログラムやLAN内で当該端末が通信可能なアドレス/ポートなどを制限する
④EDR製品によりエンドポイント環境でのマルウェアの活動を検知し、対処する
⑤ファイル検知型のサンドボックス製品を用いてファイルサーバを定期巡回し、ファイルに感染したマルウェアを検知・駆除する
【Q3】ラテラルムーブメントとその対策について説明せよ。
「横方向への移動」を指す言葉で、進入した組織内部での情報収集/感染拡大活動を行うこと。
対策としては仮想ブラウザ、仮想メールクライアントなどによってインターネット利用環境と機密情報や個人情報を扱う環境を分離し、マルウェア感染による影響を極小化する。
【Q4】トロイの木馬によってどのような問題が発生するか。
バックドアとして機能したりユーザのパスワードを記録したりすることで攻撃者が遠隔操作を可能なようにする。
【Q5】ボットネットの脅威とは何か、どのような問題が発生するのか。
【Q6】ボットへの有効な対策とは何か。
通信経路上での対策
①ファイアウォールでIRC・IM・P2Pなど、不要なサービスやポートへのアクセスを遮断する。
クライアント環境での対策
①IRCやIM・P2Pなど、業務に無関係なソフトウェアの使用を禁止する
②OSのファイアウォール機能や市販のパーソナルファイアウォールで接続を拒否する
【Q7】ランサムウェアの脅威とは何か、どのような問題が発生するのか。
感染したコンピュータのファイルやハードディスクを勝手に暗号化して正常に利用できないようにした後、それを解除するための身代金の支払いを要求する。
身代金を払わないと暗号化されたデータが使えないばかりか、暗号化する前に情報を盗み出されている場合はダークウェブに情報が公開されることがある。
一方身代金を払うことは犯罪組織に金銭を支援することになり、ランサムウェアの活動がさらに活発になる問題がある。
【Q8】ランサムウェアへの有効な対策とは何か。
①PC本体に重要なファイルを保存しない
②PCやサーバに保存されたファイルを定期的にバックアップする
③バックアップしたファイルはPCやサーバからアクセス可能な場所に置かない
④バックアップから正常に復元できるかどうかを事前に確認しておく
【Q9】ドロッパ、パッカーにはどのような特徴があるか。
内部に不正なプログラムを持ち、コンピュータに侵入した後に不正プログラムを投下(ドロップ)して活動するタイプのマルウェア。格納されている不正プログラムは暗号化や難読化、パッキングなどが施されており、容易に不正プログラムとして検出されないようになっている。
【Q10】標的型攻撃の特徴について説明せよ。
特定の組織や団体をターゲットとして、その取引先や関係者、公的機関などを騙ってマルウェアや不正なリンクが埋め込まれたメールを送信することで相手を騙し、情報を盗もうとする。
【Q11】ビジネスメール詐欺の特徴とその対策について説明せよ。
■特徴
取引先や上司を装った巧妙なメールのやり取りにより、企業などの担当者を騙し、攻撃者の口座へ不正に送金させる詐欺行為。
■対策
攻撃者を技術的な対応で見破ることが難しいため、メール利用者が攻撃の手口を理解し、本来のメールアドレスと違う部分がないかなどを自分でチェックする必要がある。
【Q12】サプライチェーン攻撃とは何か。
標的とする企業の子会社や取引先にサイバー攻撃を仕掛けて踏み台にし、その後本来の標的企業へのサイバー攻撃を仕掛ける手法。
【Q13】標的型攻撃への運用管理面での対策とは何か。
①標的型攻撃に対する従業員の意識やリテラシーの向上
②標的型攻撃の迅速な情報集約と対応指示ができる体制やルールの整備
【Q14】標的型攻撃への技術面での対策とは何か。
①クライアントPCからインターネットへの通信はすべてプロキシサーバ経由とする
②プロキシを介さないアウトバウンド通信をファイアウォールで遮断する
③パーソナルファイアウォールでインターネットとの通信を許可するプログラムや通信溝なアドレス/ポートを制限する
④FWの遮断ログ分析によってマルウェアのバックドア通信を発見し、感染端末を特定する
⑤RATによる内部プロキシへの通信を検知し遮断する
⑥VLANなどにより重要サーバが直接インターネットへの通信を行わないように設計する
⑦LAN内の通信ログやADサーバログを分析する
⑧不要な通信を排除する
【Q15】近年被害を広げているEmotetの特徴と対策について説明せよ。
特徴
ばらまき型の攻撃メール。同じ文面のメールが広範囲にわたって送られる。
PCを攻撃者の不正なサイトに接続させ、そこからEmonetをダウンロードさせることにより、メール情報などを搾取される。
対策
メールによって感染するため、通信経路上の対策が有効である。
また、誤ってダウンロードした場合でも、Microsoft Officeのマクロであれば標準の設定であれば「コンテンツの有効化」を行わなければ不正なマクロが実行されることはない。
【Q16】ファイルレス攻撃の特徴と対策について説明せよ。
特徴
①メールにマルウェア本体は添付せず、代わりに".lnk"ファイルを添付して送りつける
②メール受信者が".lnk"ファイルを実行するとPowerShellを悪用し不正な命令を実行する
対策
①Windows Remote Managerを無効に設定し、ネットワークを介してのPowerShell実行を防ぐ
②PowerShellスクリプトファイルの実行ポリシをRestrictedに設定する
③AppLockerによるアプリケーション制御ポリシでPowerShell.exeの実行を禁止する
④PowerShellで実行したコマンドやスクリプトをイベントログに出力するように設定する
【Q17】暗号資産マイニングとクリプトジャッキングについて説明せよ。
暗号資産のマイニングは取引所を介さずに暗号資産を入手する方法であり、代表的な暗号資産であるビットコインではナンスと呼ばれる32bit値を探し出すことである。ナンスを探し出すのは容易ではなく膨大な計算量が必要になる。
そのため、他人のコンピュータリソースを無断で使用するマルウェアが増加しており、クリプトジャッキングはその一例である。
クリプトジャッキングはWebサイト閲覧者のコンピュータリソースを使って暗号資産のマイニングを行う方である。
【Q18】マルウェアの検出手法である、コンペア法、パターンマッチング法、チェックサム法、ヒューリスティック法、ビヘイビア法について説明せよ。
・コンペア法
マルウェアの感染が疑わしい対象と安全な場所に保管してあるその対象の原本を比較し、異なっていれば感染を検出する手法。
・パターンマッチング法
マルウェア定義ファイルなどを用いて何らかの特徴的なコードをパターンとしてマルウェア検査対象と比較することで検出する手法。
・チェックサム法
検査対象に対して別途マルウェアではないことを保証する情報を付加し、保証がないか無効であることを検出する手法。
・ヒューリスティック法
マルウェアのとるであろう動作を事前に登録しておき、検査対象コードに含まれる一連の動作と比較して検出する手法。
・ビヘイビア法
マルウェアの実際の感染・発病動作を監視して検出する手法。感染・発病動作として「書き込み動作」「複製動作」「破壊動作」などの動作そのものの異常を検知するだけでなく、感染・発病動作によって起こる環境の変化を検知する場合もある。例えば、「例外ポート通信・不完パケット・通信量の異常増加・エラー量の異常増加」「送信時データと受信時データの量的変化・質的変化」などが当たる。
【Q19】既知のウイルスの亜種や未知のウイルス等の検出にはそのような手法が有効か。また、その理由を説明せよ。
ヒューリスティック法やビヘイビア法。
動作や環境の変化から検出を行えるため。
【Q20】EDR製品の特徴と活用例について述べよ。
PC・サーバなどのエンドポイントで発生している様々な事象を分析することでマルウェアの侵入やその後の振る舞いを検知し、対処する技術。プロセス生成・ファイル操作・レジストリ更新・ネットワーク接続などのマルウェアの活動が検知できる。
また、脅威の発生を検知するだけではなく、管理サーバを通じてエージェントプログラムに指令を送ることによりエンドポイント環境を防御することもできる。
【Q21】ダークネットとは何か。
インターネット上で到達可能であり、かつ特定のホストに割り当てられていない、IPアドレスが未使用の空間のこと。
【Q22】ダークネットを観測するとどのような事象を把握することができるか。
マルウェアの存在やサイバー攻撃の被害状況を把握することが可能になる。
私が使っているのは2022年版のテキストですが、2023年版も出ています。