情報セキュリティ

基本情報技術者試験インシデント対応」の問題

情報セキュリティ情報セキュリティ難易度:normal
C社では、感染端末を隔離して封じ込めた後、調査で『攻撃者が作成した不正なアカウントと、再侵入用のバックドアプログラムが端末に残っている』ことが判明した。インシデント対応の根絶段階で行うべきことはどれか。
隔離で拡大は止まったとみなし、残存物の確認は省いてその端末をそのまま業務へ戻してしまう。
攻撃の痕跡を消す目的で端末の通信ログを削除し、それをもって対処済みとする。
不正アカウントとバックドアを取り除き、突かれた脆弱性を修正して再侵入の経路をふさぐ。
利用者へ不審な動作に注意するよう周知し、気づいた異常は申告するよう促す。
正解
不正アカウントとバックドアを取り除き、突かれた脆弱性を修正して再侵入の経路をふさぐ。

根絶段階の役割は、システムに残存する脅威(マルウェア、不正アカウント、バックドア)を完全に取り除き、悪用された脆弱性を修正して侵入経路を塞ぐことである。これを行わずに復旧すると攻撃者が再侵入するため、原因と痕跡の除去が不可欠である。

?選択肢ごとの解説

ア ×封じ込めは拡大を止めただけで脅威は残存しており、確認を省いて戻すとバックドアから再侵入され被害が再発する。
イ ×通信ログの削除は調査の証拠を失わせるうえ、バックドアや不正アカウントという脅威本体を除去しないため根絶にならない。
ウ ○根絶段階の役割は、システムに残存する脅威(マルウェア、不正アカウント、バックドア)を完全に取り除き、悪用された脆弱性を修正して侵入経路を塞ぐことである。これを行わずに復旧すると攻撃者が再侵入するため、原因と痕跡の除去が不可欠である。
エ ×周知や注意喚起は人的対策にすぎず、端末に残ったバックドアや不正アカウントという技術的脅威を取り除かない。

くわしく

根絶(eradication)は封じ込めと復旧の間に位置し、脅威の根本除去と侵入原因の解消を担う。残存マルウェア・不正な永続化機構(バックドア、不正アカウント、起動登録)の削除と脆弱性修正をセットで行い、必要なら再構築する。これを怠ると復旧後に再侵害される。

本番での押さえどころ

試験のコツ

根絶は『残存マルウェア・バックドア・不正アカウントの除去+脆弱性修正で侵入経路を断つ』。封じ込めと復旧の間の必須工程。

覚え方

封じ込めが『閉じ込める』なら根絶は『根こそぎ取り除く』。残った種(バックドア)を抜く。

よくある誤り

封じ込め(隔離)だけで安心して根絶を飛ばす。脅威が残ったまま復旧すると再発する点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0123

【基本情報技術者試験】インシデント対応の問題 — 解答・解説|ukamiru 過去問