情報セキュリティ

基本情報技術者試験マルウェア」の問題

情報セキュリティ情報セキュリティ難易度:normal
C社の複数の業務PCが、深夜帯に外部の特定サーバと定期的に通信し、その指令を受けて外部の他組織へ一斉に攻撃トラフィックを送出していたことが判明した。各PCの利用者に攻撃の自覚はない。これらのPCが置かれている状態の説明として、最も適切なものはどれか。
管理者権限を奪われ、検出ツールに虚偽の結果を返させて自身の存在を覆い隠されている。
外部の指令サーバの統制下で号令に従い、他組織を攻撃する踏み台として束ねられている。
利用者のキー入力を逐一記録され、入力された認証情報を外部へ送り出されている。
保存済みファイルを暗号化され、読み出しの回復と引き換えに金銭の支払いを迫られている。
正解
外部の指令サーバの統制下で号令に従い、他組織を攻撃する踏み台として束ねられている。

外部の特定サーバ(C&Cサーバ)と定期通信し、その指令で一斉に外部攻撃を行う点が決め手である。これは各PCがボットに感染し、攻撃者の指令サーバの統制下で踏み台として束ねられたボットネットの構成端末となっている状態である。

?選択肢ごとの解説

ア ×検出結果を偽らせて存在を隠すのはルートキットの特徴であり、外部指令で踏み台になる本件の中心的挙動を説明しない。
イ ○外部の特定サーバ(C&Cサーバ)と定期通信し、その指令で一斉に外部攻撃を行う点が決め手である。これは各PCがボットに感染し、攻撃者の指令サーバの統制下で踏み台として束ねられたボットネットの構成端末となっている状態である。
ウ ×キー操作の記録と認証情報の送信はキーロガーの特徴であり、外部への一斉攻撃という本件の現象とは異なる。
エ ×ファイル暗号化と金銭要求はランサムウェアの特徴であり、指令を受けた攻撃送出という本件の状況に合わない。

くわしく

ボットネットは『C&Cサーバ(指令サーバ)』『ボット(被操作端末)』『攻撃者』の三層で構成される。感染端末は攻撃者の指令に従いDDoSやスパム送信の踏み台になる。C&Cとの定期通信の検知が発見の糸口となる。

本番での押さえどころ

試験のコツ

『外部の指令サーバと通信し、指令で一斉に他所を攻撃』はボット/ボットネット。C&C通信が判別の鍵。

覚え方

ボットは『遠隔操縦される手下』。司令塔(C&C)の号令で軍隊のように一斉に動くと覚える。

よくある誤り

自端末が攻撃を『受ける』側だと思い込みがちだが、ボットでは自端末が他組織を『攻撃する』加害側の踏み台になる点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0051

【基本情報技術者試験】マルウェアの問題 — 解答・解説|ukamiru 過去問