応用情報技術者の過去問・解答解説 平成25年春・午後問9 (PCのマルウェア対策)
応用情報・平成25年春・午後問9の問題および解答解説。
設問1
- 設問1
- (1)スパムメールをメールサーバ上で自動的に判定する際に,送信元や内容の判定が適切でないと,スパムメールが大量に届くことがある。ほかにどんな害があるか?
- (2)プロキシサーバに問題のあるWebサイトを登録して,アクセス制限することをなんと言うか?
↓
(1)スパム誤検知のため,受信すべきメールが届かない。
届きすぎの逆は,届かなさ過ぎということ。
セキュリティにおいて,両極端を避けるような,適度な警戒設定が必要なのだ。
(2)ブラックリスト。
この回答はシンプルな呼び方のため,正答率が悪かったらしい。
フィルタリングを大別すると,ブラックリストとホワイトリストに分かれるのだ。
設問2
- 設問2:それぞれサイバー攻撃の手法を答えよ。
- (3)送信元を詐称して取引先と偽り,悪意のあるファイルを送付して開かせる。
- (4)セキュリティパッチが提供される前のタイミングを狙った攻撃。
↓
(3)は「標的型攻撃」。
不特定多数ではなく,特定の個人を狙っているから。
なお選択肢にはないが,「ソーシャルエンジニアリング」(人間の好奇心を呼び起こして,思わず開かせる)も該当する。
(4)はゼロデイ攻撃。
パッチ配布日を1日も経過していないのでこの呼び名となる。
他の選択肢も見ておこう。
「DDoS攻撃」とは,複数マシンから一斉にアクセスして,Webサイトなどをダウンさせること。
よって「ファイルを開かせる」タイプの攻撃とは異なる。
標的型攻撃などを通じて誤ってファイルを開いた結果,マルウェアを仕込まれて,
そのマルウェアが後になってDDoS攻撃を発動する,といった展開になることはあるんだけども。
SQLインジェクションは,Webアプリに変な入力をして,中身で意図しないSQLを実行させる。
これは機械を相手にした攻撃であって,人間に何かの動作をさせる手口ではない。
カミンスキーアタックは,DNSキャッシュポイズニングを効率的に成功させるための手口。
対策としては,ポートのランダム化や,DNSSECの導入が挙げられる。
DNSの書き換えだから,意図しないWebサイトへの誘導が可能である。
辞書攻撃は,パスワード破りの手口。
類推しやすい単語の組み合わせを使って,ブルートフォースを効率化する。
パスワードのランダム化で対策する。
トロイの木馬は,一見無害だが中身は有害,というマルウェアの配布形態。
設問3(1)
- 設問3(1)USBメモリ利用時にウイルス感染を防ぐための対策は?
→USBメモリそのものに対するウイルススキャンの強制実施と,利用するPCの管理強化。
USBメモリ内の暗号化は,関係がない。
むしろウイルスを検出しづらくさせてしまうので,ウイルス感染対策という文脈・目的にはマッチしない。
利用するUSBメモリを他社のものを使わずに自社のものに限ったとしても,自社のUSBメモリが未スキャンなら意味無し。
設問3(2)
- 設問3(2)ノートPCの社外持ち出し時にも,VPNで社内LANを経由してインターネットにアクセスするようにする。この対策によって,Webサイト閲覧時に得られる効果は?
→「社内LANのプロキシサーバを経由して,アクセス可能なサイトを制限できる。」
サイト制限のために,具体的にどんな方法を使うのか,については,
解答する必要はないだろう。
文字数が限られているから,ブラックリストを使うのか,ホワイトリストを使うのかは言及の必要がない。
ほかにも,ログを残しやすいと言うメリットが一応ある。
つまり,プロキシの経由を必須とすれば,閲覧したサイトの履歴が残るから,有事の際には調査がしやすい。
しかしこれは有事の際,「ウイルス感染の発生時」に得られるメリットだ。
本問で尋ねているのは「Webサイト閲覧時」に直接得られるメリットが何か,ということだから,
ログが残る云々の話は言及の必要がない。
設問4(1)
- 設問4(1)アクセス可能なWebサイトを限定するソフトをノートPCごとに導入した場合でも,Webサイト閲覧によってウイルス感染する危険性はまだ残っているが,それはどのような場合か?
→アクセス可能なWebサイトが改ざんされ,マルウェアを仕掛けられた場合である。
ホワイトリスト方式を採用しても,リストで許可したものが万一改ざんされたらアウトなのだ。
これはホワイトリスト形式の弱点であり,正答率が低かった問題だ。
設問4(2)
- 設問4(2)ウイルス感染によりPCが利用不能になった場合に備えて,PC利用者はどのような対策を講じておくことができるか?
→定期的なバックアップ。
ここでは,ウイルスに既に感染してしまった後でどうしたらよいか,という事後処理の方法を問うている。
関係する部門に連絡した後で,業務を正常に再開するためには,バックアップが欠かせない。
全体の考え方
ふだんの自分の業務で,セキュリティ対策をよく考えて実施しているのであれば,簡単に解答できるはず。
日常の意識が問われる。
誰でも業務で毎日のようにメールを使っている。
セキュリティがわかります,と名乗れる人であれば,
当然自分が毎日使っているメールに潜む脅威や危険についても調べておこう,
と考えて,アクションを取っているはずだから。。
この問題に類似した例題
関連問題:
問40 標的型攻撃メールの特徴 平成25年春期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/25_haru/q40.html
問44 ゼロデイ攻撃 平成23年特別|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/23_toku/q44.html
問44 攻撃とその対策の組合せ 平成25年秋期|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/25_aki/q44.html
問37 ブルートフォース攻撃 オリジナル模擬試験1|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/01_moshi/q37.html
問42 ソーシャルエンジニアリング 平成23年特別|応用情報技術者試験.com
http://www.ap-siken.com/kakomon/23_toku/q42.html
勉強用の資料
標的型攻撃とは,特定の個人を狙って情報を盗み出す手口:
増加する標的型攻撃メール|メールにおける情報セキュリティ対策編
http://www.jnsa.org/ikusei/spam/07_01.html
- 不特定多数に対する攻撃ではなく、ある特定の対象を狙って攻撃が行われることから、標的型攻撃の呼び名
あなたを狙う「標的型攻撃メール」「フィッシングメール」被害防止には一人一人の情報セキュリティ対策が重要です:政府広報オンライン
http://www.gov-online.go.jp/useful/article/201202/3.html
- 標的型攻撃メールは、差出人を取引先の企業や官公庁、組織内の関係者など、信頼性のあるものに偽装して、受信者が関心をもつような件名や本文を記載することによって、添付ファイルを開かせたり、本文中に記載したURLにアクセスさせたりして、パソコンをコンピュータウイルスに感染させる
標的型攻撃 - Wikipedia
http://ja.wikipedia.org/wiki/%E6%A8%99%E7%9A%84%E5%9E%8B%E6%94%BB%E6%92%83
- 特定のターゲットに対して特定の目的のために行うサイバー攻撃の一種である。人間が攻撃を行っているため通常のコンピュータウイルスとは区別されるが、攻撃の過程でコンピュータウイルスなどを含む。不正プログラムが使われることもあるため、見た目などで明確な区別ができるわけではない。
- 特徴: 標的型攻撃は、コンピュータウイルスなどの不正プログラムのように「明確な攻撃」を識別できない場合も多い
ターゲット型攻撃(APT)への対策 - テクノロジー解説 - Cisco Systems
http://www.cisco.com/web/JP/news/cisco_news_letter/tech/apt/index.html
- 標的となった人物(ターゲット)に合わせてカスタマイズされた、有名企業あるいは得意先や知人からのメールを装ったメールが送られます。
「標的型攻撃」に備える-サイバー攻撃: 標的型攻撃とは、APTとは | シマンテック
http://www.symantec.com/ja/jp/theme.jsp?themeid=apt_insight#hyouteki
- フィッシングメール(偽装メール)と不正プログラムを組み合わせて行う方式が最も「普及」している
今すぐにできる「標的型攻撃」への備え
http://www.microsoft.com/ja-jp/business/industry/gov/apt/default.aspx
- 政府の内閣官房情報セキュリティセンターが 2012 年 1 月に実施したサイバー攻撃訓練において、政府職員約 6 万人に対して添付ファイルを開くとコンピューターウイルスに感染する「標的型不審メール」を送ったところ、10.1% の職員が誤って開封してしまった
標的型サイバー攻撃への対策 | マカフィー
http://www.mcafee.com/japan/enterprise/apt/
- ホワイトリスティングでは、明確に許可されていないソフトウェアのインストールを禁止することができるので、未知の脅威に対しても有効
ソーシャルエンジニアリングとは,人間の好奇心を悪用した攻撃手法:
持続的標的型攻撃におけるソーシャルエンジニアリングとは? | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Social+Engineering+in+Targeted+Attacks
- ソーシャルエンジニアリングとは、人々を巧みに操り、特定の行為をさせたり、ある情報を引き出させたりする際に用いられる心理的な手法
【標的型攻撃対策の秘訣!】 ソーシャルエンジニアリングの知識を深めよう | マイナビニュース
http://news.mynavi.jp/kikaku/2014/04/14/001/
- 受け取る人が思わずききたくなるような内容なため、開封されてしまうのだ。これが、人の善意や行為につけ込んでくる、それがソーシャルエンジニアリングです。
ソーシャルエンジニアリングの対策|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/12.html
- 利用者のふりをして、ネットワークの管理者に電話をかけ、パスワードを聞き出したり、パスワードの変更を依頼したりする。
DDOS攻撃とは,複数のマシンから一斉にアクセスすること:
セキュリティ用語事典[DDoS攻撃]
http://www.atmarkit.co.jp/aig/02security/ddosattck.html
- 踏み台とした多数のマシンから標的とするマシンに大量のパケットを同時に送信する攻撃。
- DDoS攻撃は少なくとも現状では標的にされれば完全に防ぐ方法はなく、インターネットの根幹に対する脅威である。
DDoSとは 〔 分散DoS攻撃 〕 【 Distributed Denial of Service 】 - 意味/解説/説明/定義 : IT用語辞典
http://e-words.jp/w/DDoS.html
- 分散する大量のコンピュータが一斉に特定のネットワークやコンピュータへ接続要求を送出し、通信容量をあふれさせて機能を停止させてしまう
カミンスキーアタックとは,
存在しないドメインに対して総当り攻撃を行なうことによって,DNSキャッシュポイズニングを効率的に成功させる手口:
「DNSキャッシュポイズニング脆弱性」を風化させるな - @IT
http://www.atmarkit.co.jp/news/analysis/200901/19/dns.html
- 2008年の夏に話題になった「カミンスキーアタック」は、DNSの信頼性を低下させる大きな脅威です。
- キャッシュDNSサーバに偽の情報を仕込める可能性の高さは容認できるものではありません。
IIJ、DNSサービスにおいてセキュリティを向上させるための拡張方式「DNSSEC」に対応 | 2011年 | IIJ
http://www.iij.ad.jp/news/pressrelease/2011/0117.html
- 2008年には、より簡単にDNSキャッシュポイズニングを実行できるカミンスキーアタックが発見され、大きなセキュリティ脅威となっています。
カミンスキー攻撃とは 「カミンスキー型攻撃」 (Kaminsky attack) カミンスキーこうげき: - IT用語辞典バイナリ
http://www.sophia-it.com/content/%E3%82%AB%E3%83%9F%E3%83%B3%E3%82%B9%E3%82%AD%E3%83%BC%E6%94%BB%E6%92%83
- ごく簡単にいえば、DNSサーバーに特定条件の問い合わせを総当り的に行うとDNSキャッシュポイズニングが成立してしまう場合がある、というもの
DNSキャッシュポイズニングの影響と対策(前編):カミンスキー氏が発表したDNSアタック手法と対策例 (1/4) - @IT
http://www.atmarkit.co.jp/ait/articles/0809/18/news152.html
- クエリに”存在しないFQDN”を用いることで、攻撃試行チャンスを実質的に無限に増やし、総当り攻撃の成功確率を圧倒的に高くできることが、今回の攻撃手法のポイント