基本情報技術者試験「マルウェア」の問題
C社の複数の業務PCが、深夜帯に外部の特定サーバと定期的に通信し、その指令を受けて外部の他組織へ一斉に攻撃トラフィックを送出していたことが判明した。各PCの利用者に攻撃の自覚はない。これらのPCが置かれている状態の説明として、最も適切なものはどれか。
ア管理者権限を奪われ、検出ツールに虚偽の結果を返させて自身の存在を覆い隠されている。
イ外部の指令サーバの統制下で号令に従い、他組織を攻撃する踏み台として束ねられている。
ウ利用者のキー入力を逐一記録され、入力された認証情報を外部へ送り出されている。
エ保存済みファイルを暗号化され、読み出しの回復と引き換えに金銭の支払いを迫られている。
正解
イ.外部の指令サーバの統制下で号令に従い、他組織を攻撃する踏み台として束ねられている。
外部の特定サーバ(C&Cサーバ)と定期通信し、その指令で一斉に外部攻撃を行う点が決め手である。これは各PCがボットに感染し、攻撃者の指令サーバの統制下で踏み台として束ねられたボットネットの構成端末となっている状態である。
?選択肢ごとの解説
ア ×検出結果を偽らせて存在を隠すのはルートキットの特徴であり、外部指令で踏み台になる本件の中心的挙動を説明しない。
イ ○外部の特定サーバ(C&Cサーバ)と定期通信し、その指令で一斉に外部攻撃を行う点が決め手である。これは各PCがボットに感染し、攻撃者の指令サーバの統制下で踏み台として束ねられたボットネットの構成端末となっている状態である。
ウ ×キー操作の記録と認証情報の送信はキーロガーの特徴であり、外部への一斉攻撃という本件の現象とは異なる。
エ ×ファイル暗号化と金銭要求はランサムウェアの特徴であり、指令を受けた攻撃送出という本件の状況に合わない。
✎くわしく
ボットネットは『C&Cサーバ(指令サーバ)』『ボット(被操作端末)』『攻撃者』の三層で構成される。感染端末は攻撃者の指令に従いDDoSやスパム送信の踏み台になる。C&Cとの定期通信の検知が発見の糸口となる。
✓本番での押さえどころ
試験のコツ
『外部の指令サーバと通信し、指令で一斉に他所を攻撃』はボット/ボットネット。C&C通信が判別の鍵。
覚え方
ボットは『遠隔操縦される手下』。司令塔(C&C)の号令で軍隊のように一斉に動くと覚える。
よくある誤り
自端末が攻撃を『受ける』側だと思い込みがちだが、ボットでは自端末が他組織を『攻撃する』加害側の踏み台になる点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0051