情報セキュリティ

基本情報技術者試験標的型攻撃」の問題

情報セキュリティ情報セキュリティ難易度:hard
A社のSOCが、ある業務PCから社内の複数サーバへ向けて、業務時間外に管理共有(IPC$)を使った認証試行が連続して発生していることを検知した。当該PCの利用者は通常そうした操作を行わない。標的型攻撃で侵入済みの端末から内部に横展開している段階と疑われる。被害の内部拡大を食い止めるための初動として、最も適切なものはどれか。
当該PCを通信から切り離し、試行に使われた疑いのアカウントを止めて影響範囲を調べる。
当該PCの管理者パスワードを変更し、利用者には引き続き同じ端末で業務を続けさせる。
境界のファイアウォールで社外との通信を遮断し、社内サーバ間の通信は業務優先で維持する。
侵害が確定するまでEDRのアラート閾値を下げ、当該PCの挙動を詳細に記録して証跡を集める。
正解
当該PCを通信から切り離し、試行に使われた疑いのアカウントを止めて影響範囲を調べる。

横展開は侵入端末を踏み台に内部の他資産へ広がる段階である。起点となっている当該PCを通信から切り離して拡大経路を物理的に断ち、同時に悪用が疑われるアカウントを一時無効化して窃取済み認証情報による次の侵害を止める。そのうえで影響範囲を調査するのが、内部拡大を食い止める封じ込めの定石である。

?選択肢ごとの解説

ア ○横展開は侵入端末を踏み台に内部の他資産へ広がる段階である。起点となっている当該PCを通信から切り離して拡大経路を物理的に断ち、同時に悪用が疑われるアカウントを一時無効化して窃取済み認証情報による次の侵害を止める。そのうえで影響範囲を調査するのが、内部拡大を食い止める封じ込めの定石である。
イ ×端末を切り離さずパスワード変更のみで使い続けさせると、侵入端末からの横展開が継続し、既に窃取された他アカウントの悪用も止められない。
ウ ×横展開は社内サーバ間で進行しているため、社外通信だけ遮断して社内通信を維持すると拡大経路がそのまま残り、内部被害を防げない。
エ ×記録の精緻化は調査には資するが攻撃の進行は止まらず、確定を待つ間に横展開が進むため、初動の封じ込めとしては不十分である。

くわしく

標的型攻撃は偵察・初期侵入・横展開・目的遂行と多段階で進む。横展開段階の指標は、内部スキャンや管理共有・リモート管理プロトコルを使った内部の認証試行である。封じ込めは『拡大経路の遮断(端末隔離)』と『悪用される認証情報の無効化』を同時に行うことが要諦で、社外遮断だけでは内部の進行を止められない。

本番での押さえどころ

試験のコツ

内部の他サーバへの連続認証試行・内部スキャンは横展開のサイン。対策は端末隔離+疑わしいアカウント無効化で内部経路と認証情報の両方を断つ。

覚え方

横展開は『家の中を歩き回る侵入者』。玄関(社外)だけ閉めても無駄で、犯人(端末)を部屋に閉じ込め、合鍵(アカウント)を使えなくする。

よくある誤り

対策を社外との出入口(境界)だけに向けてしまい、既に内部に入った攻撃者が社内を移動している点を見落とす。境界対策と内部封じ込めは別物である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0181

【基本情報技術者試験】標的型攻撃の問題 — 解答・解説|ukamiru 過去問