【セキスペ】平成21年春期 午後Ⅰ 問1 パケットログ解析

このページでは、情報セキュリティスペシャリスト試験(SC)(現 情報処理安全確保支援士試験)、平成21年度 春期 午後Ⅰの問1「パケットログ解析」の問題文と解答例を掲載しています。

問題と解答(PDF)

平成21年春期 午後Ⅰ 問1 パケットログ解析

平成21年春期 午後Ⅰ 問1~問4

平成21年春期 午後Ⅰ 問1~問4 解答

問題文

問1 パケットログ解析に関する次の記述を読んで,設問1~3に答えよ。

A 社は,従業員数 500 名の小売業者である。A社では,ネットワークの構築,運用を自社で行っている。ある朝,社内 LAN からインターネット上のWeb ページを閲覧しているときの応答が遅いといった苦情が寄せられ,システム管理部門のJ主任と運用担当のK君が調査を行うことになった。

〔原因調査と対処〕

J主任とK君は,Web ページの閲覧状況の確認から始めることにした。

K君:ブラウザでインターネット上の Web ページを閲覧しようとすると,図1に示す状態が長く続き,表示までに時間が掛かります。

図1

J主任:なるほど,図1中の[    a     ]を見ると,DMZ上のDNS サーバに問題があるようです。当社の社内ネットワークの構成は図2のとおりです。設置してあるパケットモニタの,該当する時間帯のログを解析してみましょう。
図2

K君 :パケットモニタ Y には, DNS クエリとそれに対応する DNS クエリレスポンスが多量に記録されていました。しかし,パケットモニタZには, DNS クエリを伴わない DNS クエリレスポンスが多量に記録されていました。パケットモニタZのログを図3に示します。

図3

J主任:このようなログは,社内 LAN 上の PC が DNS クエリを送信するときに自身のIPアドレスを[     b     ]のIPアドレスに[     c     ]した場合に記録されます。

K君 :不正な DNS クエリが多量にDMZ 上の DNS サーバに送りつけられたことで,Web ページを閲覧するときの応答が遅くなったのですね。確かに,すべての社内 PC からの名前解決を, DMZ 上のDNS サーバが担っていますから。

J主任:こういった通信は[     d     ]攻撃と呼ばれています。至急,不正なパケットを棄却する設定をすべての部門のルータに適用してください。

K君 :はい,分かりました。

J主任:こうした事象は,ウイルス感染によってよく引き起こされます。今回の事象以外にも,異常な通信が観測される可能性があります。社内 LAN に接続されているすべての部門のルータにパケットモニタを設置して,原因となっている社内PCを特定してください。

K君 :ルータへの設定が終わり次第,パケットモニタによる調査を開始します。

J主任:ところで,図3中の[     e     ]と[     f     ]の記録から,DMZ上のDNSサーバが攻撃の踏み台に利用される危険性があることが分かります。①DNSサーバの不適切な設定も修正しておくべきですね。

K君 :はい,分かりました。

〔異常 PC の特定〕

K君は社内 LAN に接続されたすべての部門のルータの配下にパケットモニタを設置して,異常な通信の監視を開始した。

図4

K君 :図4がα部門に設置したパケットモニタのログです。

J主任:②図4中の(VI)に示した箇所に,通常の社内 PC には見られない不審な通信挙動が記録されていますね。これは[     g     ]におけるアドレス探索に見られる特徴です。また,図4中の(VI) に示した箇所にも,不審な通信挙動が記録されていますね。(VI) に示す通信によって, ③通信の異常な偏りが発生します。

K君:なるほど, a1.a2.a3.a4 に該当する社内 PC が,原因となっているPC ですね。

J主任:こうした視点で,ほかの部門に設置したパケットモニタのログも確認してみましょう。

〔異常 PCの対処と今後の対策〕

J主任と K 君は,全部門のパケットモニタのログを調べた結果, IPアドレスがa1.a2.a3.a4 のログだけに異常が見られたことから,この IPアドレスの PC への対処を開始した。この対処として,通信プロセス名,実行ファイル名,通信のあて先のIPアドレスとポート番号を記録する通信プロセスモニタを,該当する PC に設定して監視を行った。

K君 :該当する PC に設定した通信プロセスモニタのログから,起動していたの④不審な通信プロセスを特定でき,それがウイルスであることが分かったので,その実行ファイルを削除しておきました。この PC ではウイルス対策ソフトが起動しており,そのパターンファイルの自動更新も設定されていました。検知できないウイルスもあるのですね。

J主任:そのとおりです。昨今,次々と新たなウイルスが作られているので,完全な検知が難しくなっています。

K君 :該当する PC にログインしたまま1日間操作しないで通信状況を監視したところ, DNS パケットだけでなくすべての TCP/UDP パケットの発信が止まったことを確認しました。

J主任:それは変ですね。当社の設定では,操作しない PC でもPCにログインしていれば,TCP/UDP パケットは自動的に発信されます。hosts ファイルが改ざんされているのではないでしょうか。

K君:図5がhosts ファイルです。確かに,ウイルス対策ソフトのパターンファイルの配布サイト情報が追加されているようです。

J主任:hosts ファイルの改ざん以外にも,ほかの設定ファイルの改ざんや未知のウイルスへの感染の可能性があります。OS の再インストールで対処してください。

K君 :はい, 分かりました。

図5

その後,J主任とK君は,ウイルスの感染経路を特定し,再発防止策を講じた。

設問

設問1

[原因調査と対処]について,(1) ~ (4) に答えよ。

(1) 本文中の[    a     ]に該当する最も適切な箇所を図1中の(p)~(r) から選び,記号で答えよ。

(2) 本文中の[     b     ]に入れる適切な字句を解答群の中から選び,記号で答えよ。また,本文中の[     c     ]に入れる適切な字句を,5字以内で答えよ。
bに関する解答群
ア DMZ 上の DNS サーバ
イ DMZ 上のWeb サーバ
ウ インターネット上

(3) 本文中の[     d     ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
解答群
ア DNS cache poisoning
イ DNS reflection
ウ 総当たり
ェ ファーミング

(4) 本文中の[     e     ]
に該当する適切な箇所を図3中の(I),(Ⅱ)から,[     f     ]に該当する適切な箇所を(Ⅲ)~(V) からそれぞれ選び,記号で答えよ。また,本文中の下線のについて,どのような修正を行うべきか。50字以内で述べよ。

設問2

〔異常 PC の特定〕について,(1), (2) に答えよ。

(1) 本文中の下線のの不審な通信挙動について,30字以内で具体的に述べよ。また,本文中のに入れる適切な字句を解答群の中から選び,記号で答えよ。
解答群
ア DNS amplification 攻撃
イ UDP ポートスキャン
ウ ゾーン転送
エ 迷惑メール送信

(2) 本文中の下線Bの通信の異常な偏りについて,該当するものを解答群の中から二つ選び,記号で答えよ。
解答群
ア DNS クエリなしに通信を試みたあて先アドレス数の増加
イ TCP-RST パケット受信数の低下
ウ コネクション接続成功率の低下
エ 平均パケットサイズの増加

設問3

〔異常 PC の対処と今後の対策〕について,(1), (2) に答えよ。

(1) 本文中の下線のについて, K君はどのような通信挙動のプロセスに注目したか。40字以内で述べよ。

(2) 本文中の下線6について,正常な PC を放置した場合,どのような TCP/UDPパケットが観測されるべきなのか。図5を考慮して40字以内で述べよ。

出題要旨

社内 LAN上の異常を解析するツールとして, パケットモニタは有効である。ウイルスに感染した PCが外部と通信を行う際に DNS サーバを利用した名前解決を行うことが多く, DNS クエリに注目すると異常を特定しやすい。特に, スパムメールの踏み台になった PC の場合, メールの配送先を示す MX レコードを検索して,該当するメールサーバにスパムメールを送りつける。また, DNS 通信はステートレスな UDP プロトコルであるので,発信元IPアドレスを詐称した DNS Reflection 攻撃の踏み台にされる危険性がある。

本問では,パケットモニタを利用して, このような異常を解析する手順と, DNS サーバの危険性についての理解を問う。

解答

設問1

(1) a (r)
(2) b
c 詐称
(3) d
(4) e (II)
f (V)
修正 インターネットからの A社以外のドメイン上のアドレスに関する DNS
クエリを拒否する。

 

設問2

(1) 不審な通信挙動
  • 名前解決のために3台以上のDNS サーバと通信している。
  • A社以外の DNS サーバに MX レコードを問い合わせている。
g
(2) ア,ウ

設問3

(1)
  • OSやアプリケーションが本来通信しないあて先ホストと通信するプロセス
  • OSやアプリケーションが本来通信しないあて先ポートを利用するプロセス
(2) ウイルス対策ソフトによるパターンファイルの更新確認パケット

関連リンク

その他の過去問は下記リンクなどもご覧ください。平成21年度春期試験  問題冊子・配点割合・解答例・採点講評

タイトルとURLをコピーしました