30年問1  セキュリティの珍問

あさきゆめみしさん  
(No.1)
私のところでは、桜が満開です。

tacの解答で皆様にお聞きしたいととがあります。

問1  設問2
>拡張子がないか
状況から、pc  サーバーが何台あるか不明であるが、S主任が一人で拡張子の検索を1台ずつやるのは時間が掛かるし、サーバーへの負荷も大きいことから業務に支障をきたすかもしれない。(可能ではあるがやってみると非実用的)
それで、考えたのだが、ウィルス対策ソフトで検知駆除できるのだからリアルタイムスキャンで書き込みがあったとき自動で反応して駆除してくれるのではないか?だから駆除したファイルのあるなしをみればすぐに簡単に確認できるのではないか?

何か条件を見逃しているかも。

設問5(2)
>共有ディスク
わからないこと
1  ウィルスがあってもバックアップが可能であること。
2  ディスクの接続の間隔が短いと(たとえば30分毎)常時接続のリスクとほぼ変わらないのではないか?(バックアップの間隔は書いていない)
リスク低減が目標の運用かも知れないが、この運用ではでは現状とほぼ変わりなし。
ipaが推奨しているだけ、もしくは試験を通してもっと良い方法がないかを調査している気が・・・
ランサムウェア対策のご案内  io  dataの記事より:

皆様のお知恵をお貸しください。
2018.04.19 17:34
Nasuさん 
(No.2)
別のスレッドでも書きましたが、私もその問に関しては下記のように書きました。

設問2
TAC:拡張子が特定の文字列となるファイルが他のPCやサーバ上にないかを確認する
自分:最新のウイルス定義ファイルを適用して、全てのPCでウイルススキャンを行う

設問文の次の段落を読むと、
「最新のウイルス定義ファイルで駆除できることを確認した」
という記載がありますし、発見と駆除を同時に行えて
効率的かつ現実的な方法だと考えました。
設問文にも「ウイルススキャン以外で」という条件はありませんでしたし。

設問5に関してはTACと同じ解答をしました。
2018.04.19 18:47
3回目さん 
(No.3)
ウイルス検査の方法とってもいいけど、確認するのは特定の拡張子を持つファイルが引っかかるかという事になるよ。
マルウェア感染の有無を確認するんだから。
2018.04.19 19:17
あさきゆめみしさん  
(No.4)
スレ主です。
レスありがとうございます。m(_ _)m

問2ですが、もう一度問題文を読むと、
>当該モバイルPC上で変更されたファイル名の拡張子の文字列から、最近報告されたマルウェアの疑いが強いこと
としか書かれていません。
つまりPCやサーバに感染時に同じ拡張子になるマルウェアかどうかの挙動が書かれていません。ランサムは、同じ拡張子で感染することが多いらしいので、そう答えたくなりますが・・・。
この場合、どのような動きをするかわからないマルウェアかまだ不明なのにウィルス定義ファウルで駆除できたのですから、答えは、「ウィルス定義ファイルでスキャン」が正解だと考えられます。
2018.04.19 22:04
hogehogeさん 
(No.5)
私もあさきゆめみしさんに同意です。

「特定の拡張子がないか」って言われても、拡張子はユーザーが任意で変更できるからそんな不安定な情報をキーに確認するのはエンジニアとしてはナンセンスだと思います。「ウイルスに侵されたデータ」を探すよりは「ウイルス自体のデータ」をバイナリ単位でチェックするウイルス対策ソフトのチェックの方が実用的な気がします。(既知のウイルスですし)

「LANから外す」って、手動ですかね?それならNASへのバックアップではなくUSB HDDや磁気テープなり外付け媒体にバックアップ先を変更すべきかなと思います。
どちらにしても、バックアップファイル自体の暗号化を回避したいのか、暗号化されたファイルをバックアップしてしまうことを回避したいのか問題自体の意図が曖昧に感じました。私は、最悪感染したファイルを知らずにバックアップしてしまったとしても、一つ前の世代(バックアップ周期・世代数に依存するので簡単に表現します)から正常ファイルを復元できればいいのかと思い、そのような内容で回答しました。

つらづら書いていますが、結局IPAが出す答えが正なので、割り切ることも覚悟してます。
2018.04.19 22:35
3回目さん 
(No.6)
ファイルの拡張子から最近報告されたマルウェアだと判断していて、それが拡散してないかの確認をしたいのだから。
ウイルススキャンした結果で何かしらウイルスが検知された場合、拡張子から同じマルウェアに感染してないかってのを確認する必要がある。

実際の業務で、ウイルススキャンしたら何か検知して駆除しました!っていう時は何が検知されたか確認して報告するでしょ。
2018.04.20 00:55
hogehogeさん 
(No.7)
特定の拡張子になっているのは、マルウェアの処理にて暗号化されたファイルのことであって、マルウェア自体の話ではないからウイルススキャンの結果上、特定の拡張子は表示されないと思います。マルウェアは汎用的に動作しないといけないので拡張子は.exeなどのありきたりな拡張子だとも思いますし。

S主任も特定の拡張子見た時に最近報告されたマルウェアの仕業だろうと強く疑っただけで、マルウェア自体を断定した訳ではないようです。
2018.04.20 06:49
midさん 
(No.8)
各予備校は現場のことわかってないので、ヘンテコな解答になってるんじゃないですかね。
普通ランサムウェアに感染していないことを証明するのにファイルの拡張子(しかもすべてのPCが対象)のみの検索ってしないでしょ。(やったとも書いてなかったし)
>当該モバイルPC上で変更されたファイル名の拡張子の文字列から、最近報告されたマルウェアの疑いが強いこと
これを確信にするためは最新のウイルス定義ファイルでスキャンして証明するしかない。
拡張子だけの検索でOKなのであれば大げさな話、ウイルス対策ソフトいらないってことにならんかね。

あとランサムウェア対策としてのバックアップは
①ネットワークから完全に切り離す
②複数世代バックアップを残す
どちらも有効、というかどちらも書いてないと部分点しかもらえないのでは?と思ってます。
これも普通、運用考えたら②だと思いますよ。
ただテープなどの媒体を利用することで①も包括してるのが実情だと思います。
①だけだとゼロデイに耐えれません。結局はバックアップ時には接続するので意味ありません。
2018.04.20 09:46
3回目さん 
(No.9)
今回は感染被害拡大の確認が問題でしょ。
被害ってのはファイル暗号化されて開けないと。それらのファイルは拡張子が特定の文字列であると。

最新の定義でウイルススキャンしてマルウェアが存在しない事を確認するだけじゃなくて、実際に被害が出てないか確認する必要がある。
じゃあ被害の有無はどうやって確認するの?


バックアップの方もIPAの情報セキュリティ10大脅威2018に書いてあるでしょ。
2018.04.20 12:58
midさん 
(No.10)
そこ断定できず曖昧にしてる問題が悪いな。

最近報告されたマルウェアの疑いが強い

最新のウイルス定義でスキャンし、断定

よって拡張子で判断してOK

これなら拡張子って書くでしょ。
2018.04.20 13:13
今さら聞けないさん 
(No.11)
すみません。ダメもとで聞きたいです。
第3の可能性として「画面表示を確認する」的なものは確実に不正解ですかね?
ランサムウェアは、ニュースで見た端末ロック型っぽいイメージしかありませんでした。ファイル暗号化型だと警告メッセージとやらは消えちゃいますか?
  本文:当該モバイルPCを起動したところ、金銭の支払を要求する警告メッセージが表示された

ちなみに、予備校の解答のファイルを確認する場合、例えば確認作業前にユーザーがたまたま削除していたら被害を見逃すってことはないですか?
2018.04.20 16:25
猿ゴルファープロさん 
(No.12)
ウィルスの拡張子と被る同名の拡張子があったら、感染確定するのかな。これで感染確定してしまうと感染ルート断定難しくなるよな。
2018.04.20 18:34
jjさん 
(No.13)
拡張子確認は被害範囲調査であって感染範囲調査ではない
2018.04.20 19:52
あさきゆめみしさん  
(No.14)
この投稿は投稿者により削除されました。(2018.04.20 21:45)
2018.04.20 21:45
あさきゆめみしさん  
(No.15)
スレ主です。
皆さん  書き込みありがとうございます。
参考になるかわかりませんが、マルウェアがランサムだと仮定して、「  ランサム  拡張子」で検索すると下記のようなものが出てきます。
URL貼れないのでタイトルだけですが。

1  ウイルスバスター ヘルプとサポート  ランサムウェア ファイル復号ツール 
暗号化時の拡張子例    
.locky
.XXX, .TTT, .MP3, .MICRO
"ファイル名、拡張子に変更なし"

2  IPA  ランサムウェアで暗号化されたファイルを復号するツールの調べ方
ランサムウェアには次々と亜種とよばれる新しいタイプが登場し、そのたびに暗号化されるファイルの拡張子も変化します。
中には拡張子をランダムに生成するタイプのものもあることから、拡張子からでは種類の特定が困難な場合もあります。

上記から拡張子からマルウェアの感染被害が拡大していないことを確認は、できないと考えられます。

予備校さんへ  見てたら書き込みお願いします。
2018.04.20 21:45
hogehogeさん 
(No.16)
誰か、LAN上の共有DISKをバックアップ時以外はネットワークから外す効率的な運用方法を教えてください。

週一、データのフルバックアップするには数時間はかかるはず。業務時間中はどんどんとデータが書き換わる可能性があるため業務時間外にフルバックアップが望ましい。その間オペレータが待機していてバックアップ終わったらまたLAN線を物理的に抜くんですかね?それともロボティクスを活用するのかな?

問題には「共有ディスク装置の運用方法」とあるので、共有ディスク装置をLANから外すのが答えだとは思うのですが、運用シーンがイメージつかなさすぎます。。。
2018.04.20 22:10
Nasuさん 
(No.17)
この投稿は投稿者により削除されました。(2018.04.20 23:32)
2018.04.20 23:32
Nasuさん 
(No.18)
ITアシストという予備校の解答は、こうなっていました。
私は、この解答が正解だと信じたいです。

【セキュリティ  設問2】
最新のウイルス定義ファイルを適用したウイルス対策ソフトでPCとサーバをスキャンする

>スレ主様
>予備校さんへ  見てたら書き込みお願いします。
各予備校へ質問メールを送って聞いてみるという方法が一番確実でしょうね。
2018.04.20 23:32
今さら聞けないさん 
(No.19)
スレ主さんの最初の書き込みを見て思ったのですが、確かにマルウェアの感染が疑われる状況で1台1台を悠長に確認するだろうかと感じました。
例えば、ログなどで社内ネットワークに不審な通信が行われていないか確認したって可能性はないですか?  (外部への不審な通信は確認できているようです)

本文:(下線①の前から)
社内のネットワークから外部への不審な通信が行われていないこと、下線①~  ことを確認した
2018.04.21 15:15
ナマネコさん 
(No.20)
いまさら聞けないさんと同意見です。
100人いる企業で何台あるかはわかりませんが、1台1台確認するなんて作業絶対しないと思います。ウイルス定義ファイルの最新版が適用されているならリアルタイムスキャンで検知し、その後管理者にアラートを飛ばす運用が普通かと思います。私の回答は珍回答ですが、
「PCとサーバでウィルス検知が上がってないか、管理サーバでアラートやログを確認」にしてます。

また、最後の問題も通常のバックアップ終了時にLANを外すという手動で面倒な対応しないと思います。ランサムウェアやマルウェアからファイルを防ぐためにバックアップファイルそのものを自動暗号化するようにするということはありえないでしょうか?
サーバのバックアップでバックアップ先のLANを抜くということがどーしても考えれなく。
そのような対策ツールもあるかと思います。
2018.04.21 16:27
おなかさん 
(No.21)
私はセキュリティのことはほとんど分からないズブの素人なので、発言権があるか怪しいのですが…
私も「ランサム 拡張子」でネット検索してみました。
あさきゆめみしさんが取り上げられたトレンドマイクロやIPAのページも閲覧しましたが、得られた情報としては「ランサムウェアの生成する拡張子から、ランサムウェア自体の存在を特定できることもあれば、できないこともある。そして、特定できるかできないかはランサムウェアの種類による」ということです。
設問のランサムウェアについては、たまたま拡張子から追跡可能な種類だったのではないでしょうか。
また、問題文中では「社内に感染被害が拡大していないことを確認した」の次の段落に、わざわざ分けて「最新のウイルス定義ファイルで駆除できることを確認した」と書いています。
もしウイルス定義ファイルが「感染被害が拡大していないことを確認した」段階ですでに当該ランサムウェアを駆除できる状態にあったとしたら、あくまで私個人の感覚ですが、それは同じ段落に(「そのことをもって」等の言葉を足して)書くべきだし、文章としてちぐはぐな印象を受けてしまいます。
かといって、拡張子を検索するというのも…皆さんおっしゃるように、確信さに欠けるし業務として煩雑ですね。従業員それぞれに周りのPCやサーバを検索かけてくれーとお願いして、S主任は結果の確認のみ行ったとか?うーん。
模範解答がどうあれ、あまり良い問題ではないですよね。受験者にあれこれ考えさせるのが主旨ならば、成功はしていますが。
2018.04.21 19:11
あさきゆめみしさん  
(No.22)
この投稿は投稿者により削除されました。(2018.04.21 22:11)
2018.04.21 22:11
あさきゆめみしさん  
(No.23)
皆さん  書き込みありがとうございますm(_ _)m
考えてみてください。

1  アプリ開発経験あればわかると思いますが、拡張子は自由に付けられます。
たとえば  サーバーアプリで、lockyという拡張子の業務アプリを作りました。
今回ランサムの拡張子がlockyという拡張子でした。
どうやって拡張子だけで見分けられるのか?ファイルサイズでないと感染しているか外見上見分けがつかない
2  ランサム作る側として考えると
拡張子をすべてlockyにしてwindowsの機能で検索してすぐに発見・それも削除できるようなマルウェアを作りますか?
(バックアップを取ってない場合大変ですが、この場合重要なファイルをバックアップしていれば回復するだけで済むのでランサムとしての機能を果たせなくなると思います)

拡張子派のみなさんへ
根拠は、どこにあるのでしょうか?教えて下さい。
2018.04.21 22:10
jjさん 
(No.24)
ポイントは感染範囲=被害範囲ではないこと。
ランサムウェアは権限が及ぶ範囲のリモートディレクトリに対しても暗号化が可能。
つまりPCやサーバーが感染していなくとも、汚染されたPCからアクセス可能なファイルやフォルダに対して暗号化を行うことは考えられるため、拡張子を確認することで暗号化されてしまったファイルの有無の被害範囲(感染範囲ではない)を確認できる。
2018.04.22 00:16
あさきゆめみしさん  
(No.25)
まとめ:
1.今回の問題は、IPAのこのPDFからの出題かと思われる。
000057314.pdf
ランサムウェアの脅威と対策   ~ランサムウェアによる被害を低減するために~

2.マルウェアとしか書かれていないので、つまり仮にランサムだとしての拡張子検索は、
 暗号化後の拡張子が明確にわかっているランサムウェアに対してのみ有効。
 ランダム英数字や拡張子がJAVAの拡張子、未知のランサムウェアに対しては挙動を把握できないので無効。

たとえばJAVA拡張子タイプのランサムに感染したとすると
モバPC  文書.doc  ->文書.java     表計算.xls  =>表計算.java
これがPCやサーバーのデータが感染時に同じ拡張子であるJAVAに感染ファイルが変更されたとする。。
S主任が、拡張子検索の「*.java」で検索したとする。
感染しているファイルと正常ファイルの多数のファイルが検索結果として出力される。
多すぎることや区別がつかない問題が発生する。
拡張子がランダムになるタイプのランサムなら検索さえ不可。

駆除できるのだから当然  検知も可能だと考えると、
通常のマルウェアと同様にウィルス対策管理サーバーで一元管理している場合、アラートがなり感染状況をPCでひと目で見てわかると思われる。

集団思考にならないことを祈ります。
(予備校の方法が、正答の場合、ランサムの感染拡大を調べるには拡張子で判断すればすべてOKとなるだろうな。)
2018.04.23 20:51
通りすがりさん 
(No.26)
もし、拡張子を検索することが答えだとすると、
被害が”拡大していないこと”をどうやって確認したんでしょうね?
事前に全てのPCとサーバの全てのファイルの一覧でも持っていたのでしょうか?
2018.04.26 17:22
猫と共に去りぬさん 
(No.27)
この設問は2週間たっても未だにわかりません。
拡張子だけでの判断は危険すぎるし、とりあえず既知のパターンと合致して排除できたとしても亜種や新種の変性型、感染型、潜伏型、既知のウィルスと見せかけておいてふるまい探知もすり抜けて感染させるタイプのモノだったらもうお手上げ。全データをバイナリチェックすることが最も確実だと思うが0ディだったら間に合うだろうか?恐ろしいのは全システムが一気にやられること。(想像したくない・・)
とりあえず主任さんは時系列で判断しているので、ファイルサーバーに接続した時点でサーバーに即座に感染
させるタイプのマルウェアかもしれないから、K君がファイルにアクセスした時刻以降、同サーバにアクセスした他PCの有無を確認するとかどうだろう?
まず時刻、次に感染ルートのなりうる全ての接続とサーバのログの確認、そしてpcとサーバーをフルチェックするとか?無線LAN使っていたから機器側の脆弱性もチェックしなきゃならないだろうし。

ああ、連休の朝だというのに俺は朝から何考えているんだーー?
あとは神(IPA)様の審判の時を待つのみか?
2018.04.28 09:31

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop