情報セキュリティマネジメント試験 平成31年春(2019) 午後①サイバー攻撃を想定した演習

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. サイバー攻撃を想定した演習とは
  2. サイバーキルチェーンとは
  3. サイバーキルチェーンの 1.偵察 について
  4. 証拠保全とは
  5. 感染した。と思った時の対応方法は



はじめに、架空の会社 W 社の説明

W 社は、自動車電装部品、ガス計測部品及びソーラーシステム部品を製造する従業員数 1,000 名の企業である。昨年、新規事業としてソーラーシステム部を 30 名の組織で立ち上げられ毎月 3~4 名の従業員を採用しており組織が拡大している。
W 社では、7 年前に ISMS 認証を全社で取得し、年に 1 回、人事総務部が主管となり、大規模な震災などを想定した事業継続計画の演習を実施している。サイバー攻撃を想定した演習は実施したことがないものの、サイバー攻撃などの情報セキュリティインシデントの対応手順はあり、これまで事業に深刻な影響を与えるようなサイバー攻撃は受けていない。

ソーラーシステム部の状況

ソーラシステム部では、消費電力の少ないノート PC を使ったり、カバーを閉じると、自動的にスリープモードに切り替わるようにしたり、又、情報セキュリティ対策の一つとして全てのノート PCでは、USB ストレージなどの外部記憶媒体を使用できないように技術的対策を講じている。
情報セキュリティリーダの F さんは、最近、競合他社がサイバー攻撃を受け、その対応に手間取って大きな被害が発生したとのニュースを聞いた。そこで、F さんは、ソーラシステム部内でサイバー攻撃を想定した演習を行うことを提案し部長が提案を承認して演習を計画するようなった。

演習の計画

サイバー攻撃を想定した演習は、年 1 回行う事にした。演習は、机上演習と機能演習の 2 種類を大別し、機能演習の具体的は形式には、実際のサーバー攻撃に近い形で疑似的なサイバー攻撃を行うレッドチーム演習が含まれた。

今回は、サイバーキルチェーンを参考にすることにした。
サイバーキルチェーンとは、サイバー攻撃の段階を説明した代表的なモデルの一つである。サイバー攻撃を 7 段階に区分して、攻撃者の考え方や行動を理解することを目的にしている。サイバーキルチェーンのいずれかの段階でチェーンを断ち切ることができれば、被害の発生を防ぐことができる。

サイバー攻撃のシナリオをサイバーキルチェーンに基づいて整理した例

1. 偵察
インターネット上の情報を用いて組織や人物を調査し、攻撃対象の組織や人物に関する情報を取得する。とは、どんな方法で行うのか?
・WHOIS サイトから、W 社の情報システム管理者名や連絡先などを入手する。
・W 社の公開 WEBサイトから、HTML ソースのコメント行に残ったシステムのログイン情報など
・W 社の役員が登録している SNS サイトから、攻撃対象の人間関係や趣味などを推定する。
・ダーク Web サイトから、うわさ、内部情報を探す。

F さんは、二つのシナリオを取り上げた。

シナリオ 1
標的型メール攻撃のシナリオである。W 社の取引先を語った者から、W 社の公開 Web サイトが停止しておりアクセスできない旨の報告をメールで受信した。メール本文には W 社の公開 Web サイトを模した偽装サイトの URL が記載されている。この場合の対応を行う。

シナリオ 2
標的型メール攻撃を受けた結果、マルウェア感染したというシナリオである。従業員のノート PC のマルウェア対策ソフトからアラートが画面に表示された。アラートは、マルウェア感染らしき異常が認められたというものであす。この場合の対応を行う。

シナリオ 1 は、サイバーキルチェーンの配送段階での対応であり、シナリオ 2 はインストール段階での対応である。

演習の実施

ソーラシステム全員の参加とした。F さんは 3 つのグループに分けて、ワークショップを実施した。参加者はグループごとに W 社のインシデント手順に従って取るべきアクションを議論し、発表した。

W 社のインシデント手順

5.証拠保全
証拠保全した機器に残る記録を保全・収集・分析する手段や技術のことをディジタルフォレジンクスという。



ワークショップの発表結果

シナリオ1

グループ1
標的型メール攻撃であるか否かを確認するために、メール本文中の URL をクリックする。クリック後、もし NPC に異常が認められたら、情報セキュリティリーダにインシデントとして報告する。異常が認められなければ、何もしない。< 間違い >

グループ2
怪しいメールと判断し、メール本文中の URL はクリックしない。インシデントのおそれありと考えられるので、情報セキュリティリーダに報告する。< 正しい >

グループ3
怪しいメールと判断し、メール本文中の URL はクリックしない。メールをゴミ箱に移してから完全に削除する。インシデントのおそれありとは考えられないので、報告は不要と判断する。
< 間違い >

シナリオ2

グループ1
NPC をネットワークから切り離す。もし、ファイルが勝手に暗号化されるような兆候が認められた場合は次のようにする。
・NPC から電源ケーブルを抜く
・再起動をしてから、NPC のカバーを閉じてバッテリーを外す。< 間違い >

グループ2
NPC をネットワークから切り離す。もし、ファイルが勝手に暗号化される兆候が認められる場合は、次のようにする。
・NPC から電源を抜く。
・通常の OS の終了処理は行わず、NPC のカバーを開いたまま、バッテリを外す。< 正しい >

グループ3
NPC をネットワークから切り離す。もし、ファイルが勝手に暗号化される兆候が認められる場合は、次のようにする。
・NPC から電源ケーブルを抜く。
・通常の OS 終了処理は行わず、NPC のカバーを閉じて、バッテリを外す。< 間違い >

パソコンが感染した恐れがある時、OS 終了処理してはいけない理由
・通常の OS 終了を行うと、その間にもファイルが暗号化され、被害が拡大することがあるから
・通常の OS 終了を行うと、調査に必要な情報の一部が失われることがあるから

演習結果の振り返り

Fさんは、参加者からの質問や、意見、それにインシデント対応手順の改善案並びにの次回の演習に向けての改善案をまとめた。又、F さんは、ソーラシステム部は、毎月 3~4 名の従業員を採用しているから年 1 回の演習だけでは十分とはいえないと考え演習の頻度を上げる事を E 部長に提案した。

サイバーキルチェーンの「偵察」段階での対策
SNS 利用におけるルールを作成する
・インターネット上の匿名掲示板などに社内情報などを書き込まないように、従業員に対して情報
 セキュリティ教育を行う。
・攻撃者に有用な情報を渡さないように、外部のセキュリティ専門業者に、SNS や匿名掲示板など
 の監視を依頼する。

W 社の偽サイトが発見された場合、会社としてどのような対応を?又、取引先及び顧客が被害に遭わないようにするための対応は
・偽りサイトにアクセスしないように、その存在と危険性について外部に公表する。
・偽りサイトを閉鎖するように、偽りサイトの IP アドレスの割り当てを管理しているプロバイダに依頼する。



関連する用語

エクスプロイトコード
本来は、セキュリティの検証などに使われています。しかし攻撃者はこのエクスプロイトコードを悪用して、コンピューターの脆弱性をついて、不正アクセスなどの攻撃を行っています。
攻撃者は、目視ではわからないようにエクスプロイトコードを Web サイトやメールに仕込みます。それにより、エクスプロイトコードが仕込まれた Web サイトやメールを閲覧しただけでも、閲覧者のコンピューターはエクスプロイトコードによる攻撃を受ける恐れがあります。また、Webサイトへの直接攻撃も行います。



学習の確認

  1. サイバー攻撃を想定した演習とは
  2. サイバーキルチェーンとは
  3. サイバーキルチェーンの 1.偵察 について
  4. 証拠保全とは
  5. 感染した。と思った時の対応方法は