基本情報技術者試験「インシデント対応」の問題
C社では、感染端末を隔離して封じ込めた後、調査で『攻撃者が作成した不正なアカウントと、再侵入用のバックドアプログラムが端末に残っている』ことが判明した。インシデント対応の根絶段階で行うべきことはどれか。
ア隔離で拡大は止まったとみなし、残存物の確認は省いてその端末をそのまま業務へ戻してしまう。
イ攻撃の痕跡を消す目的で端末の通信ログを削除し、それをもって対処済みとする。
ウ不正アカウントとバックドアを取り除き、突かれた脆弱性を修正して再侵入の経路をふさぐ。
エ利用者へ不審な動作に注意するよう周知し、気づいた異常は申告するよう促す。
正解
ウ.不正アカウントとバックドアを取り除き、突かれた脆弱性を修正して再侵入の経路をふさぐ。
根絶段階の役割は、システムに残存する脅威(マルウェア、不正アカウント、バックドア)を完全に取り除き、悪用された脆弱性を修正して侵入経路を塞ぐことである。これを行わずに復旧すると攻撃者が再侵入するため、原因と痕跡の除去が不可欠である。
?選択肢ごとの解説
ア ×封じ込めは拡大を止めただけで脅威は残存しており、確認を省いて戻すとバックドアから再侵入され被害が再発する。
イ ×通信ログの削除は調査の証拠を失わせるうえ、バックドアや不正アカウントという脅威本体を除去しないため根絶にならない。
ウ ○根絶段階の役割は、システムに残存する脅威(マルウェア、不正アカウント、バックドア)を完全に取り除き、悪用された脆弱性を修正して侵入経路を塞ぐことである。これを行わずに復旧すると攻撃者が再侵入するため、原因と痕跡の除去が不可欠である。
エ ×周知や注意喚起は人的対策にすぎず、端末に残ったバックドアや不正アカウントという技術的脅威を取り除かない。
✎くわしく
根絶(eradication)は封じ込めと復旧の間に位置し、脅威の根本除去と侵入原因の解消を担う。残存マルウェア・不正な永続化機構(バックドア、不正アカウント、起動登録)の削除と脆弱性修正をセットで行い、必要なら再構築する。これを怠ると復旧後に再侵害される。
✓本番での押さえどころ
試験のコツ
根絶は『残存マルウェア・バックドア・不正アカウントの除去+脆弱性修正で侵入経路を断つ』。封じ込めと復旧の間の必須工程。
覚え方
封じ込めが『閉じ込める』なら根絶は『根こそぎ取り除く』。残った種(バックドア)を抜く。
よくある誤り
封じ込め(隔離)だけで安心して根絶を飛ばす。脅威が残ったまま復旧すると再発する点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0123