情報セキュリティアドミニストレータ平成13年午後I問1
不正侵入対策に関する次の記述を読んで、設問1~4に答えよ。
X社は、ソフトウェアの開発及び販売を行っている中堅のソフトウェア会社である。
X社には、ソフトウェアの開発を行う部署として開発部がある。開発部に所属する
社員には、クライアントマシンとして最低一人1台のパソコンが与えられており、
さらに、個々の開発課ごとに1台のサーバが設置されている。各パソコン及びサー
バは、すべてLANに接続されている。開発部のLANは、他部署のLANとともにフ
ァイアウォールを介してインターネットに接続されている。加えて、開発部のLAN
上にはリモートアクセスサーバ(以下、RASという)が設置されており、開発部の
社員が自宅や外出先から社内のサーバにアクセスするために利用されている。RAS
には開発部のほぼ全社員がアカウントをもっている。RASへのログインに際しては、
アカウント名とパスワードによる認証が必要であるが、それ以外のアクセス制限は行
われていない。
X社のネットワーク構成を図に示す。
図 X社のネットワーク構成
X社には、ネットワークやサーバの情報セキュリティ管理を行う専門の部署はない。
また、社内ネットワーク及びインターネットについての利用規程はあるものの、禁止
事項を幾つか列挙しただけのものであり、全社的な情報セキュリティポリシは存在し
ない。結果として、ネットワークや各サーバの情報セキュリティ管理については、社
員の知識や良識に強く依存している。
社員に与えられたパソコンは、その社員自身が管理を行うことになっており、各開
発課のサーバについては、その開発課のメンバのうち1、2名が管理者として任命さ
れている。また、ネットワーク機器やRASといった開発部内の共有リソースについ
ては、各機器についての知識の豊富な社員が開発部全体から選ばれて管理を任されて
いる。RASについては、現在、開発1課のY係長が管理者になっている。
〔不正侵入の発生と検知〕
V君は、開発部の開発1課に所属するプログラマである。本来の業務であるプロ
グラミングのほか、開発1課のサーバ1の管理も担当している。
V君はある日、サーバ1上で利用している開発ツールの不具合について調査する
ため、サーバ1上のログをチェックしていた。そのとき、E課長のアカウントによ
るサーバ1へのログインの試みが数回記録されているのに気が付いた。E課長はV
君とは別の開発2課のメンバであり、サーバ1上にアカウントをもっていない。そ
のため、ログインの試みはすべて失敗していた。V君は、このアクセスを不審に思っ
たが、操作ミスのたぐいであって大した問題ではないと判断し、サーバ1に実害が
なかったこともあって、上司への報告はしなかった。
それから10日ほど経ったころ、開発2課のサーバ管理者であるK主任は、開発2
課のサーバ2に、病欠中のE課長がログインしているのを発見した。不審に思った
K主任が直ちにE課長の自宅に電話で確認したところ、E課長本人はログインしてい
ないとのことであった。そのため、だれかがE課長のアカウントを不正に利用してい
ることが明らかになった。不正利用されているE課長のアカウントがRASからログ
インされていることを確認したK主任は、Y係長に連絡した。
〔開発部の対処作業〕
Y係長は、侵入者が公衆電話網からアクセスしてきていることを確認の上、RAS
を【 a 】から切り離した。続いて、各開発課のサーバ管理者に不審なアクセス
の記録がないかどうか調査するよう連絡するとともに、開発部の全社員に対して、早
急に各自のもつすべてのパスワードを変更するように通知した。
一方、K主任は、サーバ2を【 b 】から切り離した上で、①現状のディスク
の内容をテープに保存した。その後、サーバ2上に保存されている開発中のプログ
ラムや各種ドキュメントに対する改ざんや破壊の有無を調査した。その結果、開発中
の複数のプログラムにでたらめな文字列が書き込まれていたことが判明した。K主任
は、改ざんされたプログラムをバックアップテープから【 c 】して、対処作業
を終了した。
ほかの開発課のサーバに関しては、V君が発見したのと同様にE課長のアカウント
によるログインの試みが記録されていた。しかし、いずれのサーバにもE課長のアカ
ウントが存在しないので、それらの試みはすべて失敗していた。よって、実際に不正
侵入されたのはサーバ2だけであろうと考えられた。
〔原因究明〕
Y係長がRASのアクセスログを調べたところ、10日ほど前にE課長のアカウント
を始めとして、複数のアカウントに対するログインの失敗がまとまって記録されてい
ることが判明した。E課長以外のアカウントに関しては、いずれも10回ほどの失敗
が記録されているだけなのに対し、E課長のアカウントについては、3回の失敗の後、
ログインに成功していた。Y係長は、E課長が容易に推測可能なパスワードを利用し
ていたので、アカウントを不正利用されたのではないかと考えた。
その後の調査で、ログインの失敗が記録されていた日とV君が不審なアクセスを発
見した日が同じであったこと、及びE課長のパスワードがE課長のアカウント名を逆
順にしただけのものであったことが判明した。
〔トラブルの再発〕
K主任が対応作業を終了してから数日後、Y係長あてに、"あなたのサイトのもの
と思われるXXX.XXX.XXX.XXXというIPアドレスをもつマシンからポートスキャンをさ
れている。早急な対処を願う"という内容の電子メール(以下、メールという)が届
いた。メールの送信者によれば、WHOISデータベースでX社のドメイン名を調べ、
技術担当者として登録されているY係長のメールアドレスにメールを送信したとのこ
とである。この抗議メール自体がいたずら又は勘違いによるものである可能性も考え
られたが、Y係長は、念のため、調査を開始することにした。
メール本文に記述されたIPアドレスは、X社のファイアウォールのものであった。
X社は、ファイアウォールで【 d 】を実施しているので、社内LAN上にある
すべてのマシンが社外へのアクセスに際してこのIPアドレスを使用することになる。
調査の結果、サーバ2上のNTPサーバが、別のプログラムと入れ替えられており、
これが社外のサイトに対してポートスキャンを行っていることが判明した。E課長の
アカウントを不正利用した侵入者が、管理者権限を不正に取得した上で"トロイの木
馬"を残していったものと考えられた。K主任は、②正常なNTPサーバを再インス
トールすることによって対処した。
Y係長は、抗議メールの送信元へ、原因が"トロイの木馬"であり、それを除去す
ることによって対処したことを付記した謝罪のメールを返信した。
〔事故の報告〕
今回の事故の報告を上司のZ課長から求められたY係長は、事故の経緯と対処作業
について報告書にまとめるとともに、不正侵入の早期発見のための技術的対策として
監視ツールの導入提案を報告書に付記した。Z課長は、たとえ監視ツールを導入した
としても、③管理者が、今回の事故におけるV君のような対応を取った場合には、十
分な効果が望めないと考えた。そこで、根本的な対策のためには全社的な情報セキュ
リティポリシの策定と社内体制の整備が急務であるとの意見書を作成し、Y係長の報
告書とともに開発部長へ提出した。
設問1
本文中の【 a 】~【 d 】に入れる適切な字句を、それぞれ8字以内で答えよ。
設問2
Y 係長が、既にパスワードが漏えいしているE課長だけでなく、全社員にパスワード
の変更依頼を通知したのはなぜか。その理由を30字以内で述べよ。
設問3
サーバ2への対処に関する次の問いに答えよ。
(1)K主任が下線①の作業を行った理由を20字以内で述べよ。
(2)下線②の作業だけでは、"トロイの木馬"への対処として不十分である。
その理由と本来とるべき対処作業をそれぞれ30字以内で述べよ。
設問4
Z課長が下線③のように考えた理由を30字以内で述べよ。
オリジナル1
E課長以外のアカウントに関しては、いずれも10回ほどの失敗が記録されているが
ブルートフォースアタックにより、パスワードが解読される可能性がある。
RASで取れる対応策を答えよ。
オリジナル2
E課長のパスワードがE課長のアカウント名を逆順にしただけのものであったことが
不正侵入される原因となった。ユーザがパスワードを設定する際に、気を付けてお
きたいことは何か答えよ。
オリジナル3
開発部の対処作業においてY係長はインシデント対応の手順として行っていない処理
がある。それは何か答えよ。
X社は、ソフトウェアの開発及び販売を行っている中堅のソフトウェア会社である。
X社には、ソフトウェアの開発を行う部署として開発部がある。開発部に所属する
社員には、クライアントマシンとして最低一人1台のパソコンが与えられており、
さらに、個々の開発課ごとに1台のサーバが設置されている。各パソコン及びサー
バは、すべてLANに接続されている。開発部のLANは、他部署のLANとともにフ
ァイアウォールを介してインターネットに接続されている。加えて、開発部のLAN
上にはリモートアクセスサーバ(以下、RASという)が設置されており、開発部の
社員が自宅や外出先から社内のサーバにアクセスするために利用されている。RAS
には開発部のほぼ全社員がアカウントをもっている。RASへのログインに際しては、
アカウント名とパスワードによる認証が必要であるが、それ以外のアクセス制限は行
われていない。
X社のネットワーク構成を図に示す。
X社には、ネットワークやサーバの情報セキュリティ管理を行う専門の部署はない。
また、社内ネットワーク及びインターネットについての利用規程はあるものの、禁止
事項を幾つか列挙しただけのものであり、全社的な情報セキュリティポリシは存在し
ない。結果として、ネットワークや各サーバの情報セキュリティ管理については、社
員の知識や良識に強く依存している。
社員に与えられたパソコンは、その社員自身が管理を行うことになっており、各開
発課のサーバについては、その開発課のメンバのうち1、2名が管理者として任命さ
れている。また、ネットワーク機器やRASといった開発部内の共有リソースについ
ては、各機器についての知識の豊富な社員が開発部全体から選ばれて管理を任されて
いる。RASについては、現在、開発1課のY係長が管理者になっている。
〔不正侵入の発生と検知〕
V君は、開発部の開発1課に所属するプログラマである。本来の業務であるプロ
グラミングのほか、開発1課のサーバ1の管理も担当している。
V君はある日、サーバ1上で利用している開発ツールの不具合について調査する
ため、サーバ1上のログをチェックしていた。そのとき、E課長のアカウントによ
るサーバ1へのログインの試みが数回記録されているのに気が付いた。E課長はV
君とは別の開発2課のメンバであり、サーバ1上にアカウントをもっていない。そ
のため、ログインの試みはすべて失敗していた。V君は、このアクセスを不審に思っ
たが、操作ミスのたぐいであって大した問題ではないと判断し、サーバ1に実害が
なかったこともあって、上司への報告はしなかった。
それから10日ほど経ったころ、開発2課のサーバ管理者であるK主任は、開発2
課のサーバ2に、病欠中のE課長がログインしているのを発見した。不審に思った
K主任が直ちにE課長の自宅に電話で確認したところ、E課長本人はログインしてい
ないとのことであった。そのため、だれかがE課長のアカウントを不正に利用してい
ることが明らかになった。不正利用されているE課長のアカウントがRASからログ
インされていることを確認したK主任は、Y係長に連絡した。
〔開発部の対処作業〕
Y係長は、侵入者が公衆電話網からアクセスしてきていることを確認の上、RAS
を【 a 】から切り離した。続いて、各開発課のサーバ管理者に不審なアクセス
の記録がないかどうか調査するよう連絡するとともに、開発部の全社員に対して、早
急に各自のもつすべてのパスワードを変更するように通知した。
一方、K主任は、サーバ2を【 b 】から切り離した上で、①現状のディスク
の内容をテープに保存した。その後、サーバ2上に保存されている開発中のプログ
ラムや各種ドキュメントに対する改ざんや破壊の有無を調査した。その結果、開発中
の複数のプログラムにでたらめな文字列が書き込まれていたことが判明した。K主任
は、改ざんされたプログラムをバックアップテープから【 c 】して、対処作業
を終了した。
ほかの開発課のサーバに関しては、V君が発見したのと同様にE課長のアカウント
によるログインの試みが記録されていた。しかし、いずれのサーバにもE課長のアカ
ウントが存在しないので、それらの試みはすべて失敗していた。よって、実際に不正
侵入されたのはサーバ2だけであろうと考えられた。
〔原因究明〕
Y係長がRASのアクセスログを調べたところ、10日ほど前にE課長のアカウント
を始めとして、複数のアカウントに対するログインの失敗がまとまって記録されてい
ることが判明した。E課長以外のアカウントに関しては、いずれも10回ほどの失敗
が記録されているだけなのに対し、E課長のアカウントについては、3回の失敗の後、
ログインに成功していた。Y係長は、E課長が容易に推測可能なパスワードを利用し
ていたので、アカウントを不正利用されたのではないかと考えた。
その後の調査で、ログインの失敗が記録されていた日とV君が不審なアクセスを発
見した日が同じであったこと、及びE課長のパスワードがE課長のアカウント名を逆
順にしただけのものであったことが判明した。
〔トラブルの再発〕
K主任が対応作業を終了してから数日後、Y係長あてに、"あなたのサイトのもの
と思われるXXX.XXX.XXX.XXXというIPアドレスをもつマシンからポートスキャンをさ
れている。早急な対処を願う"という内容の電子メール(以下、メールという)が届
いた。メールの送信者によれば、WHOISデータベースでX社のドメイン名を調べ、
技術担当者として登録されているY係長のメールアドレスにメールを送信したとのこ
とである。この抗議メール自体がいたずら又は勘違いによるものである可能性も考え
られたが、Y係長は、念のため、調査を開始することにした。
メール本文に記述されたIPアドレスは、X社のファイアウォールのものであった。
X社は、ファイアウォールで【 d 】を実施しているので、社内LAN上にある
すべてのマシンが社外へのアクセスに際してこのIPアドレスを使用することになる。
調査の結果、サーバ2上のNTPサーバが、別のプログラムと入れ替えられており、
これが社外のサイトに対してポートスキャンを行っていることが判明した。E課長の
アカウントを不正利用した侵入者が、管理者権限を不正に取得した上で"トロイの木
馬"を残していったものと考えられた。K主任は、②正常なNTPサーバを再インス
トールすることによって対処した。
Y係長は、抗議メールの送信元へ、原因が"トロイの木馬"であり、それを除去す
ることによって対処したことを付記した謝罪のメールを返信した。
〔事故の報告〕
今回の事故の報告を上司のZ課長から求められたY係長は、事故の経緯と対処作業
について報告書にまとめるとともに、不正侵入の早期発見のための技術的対策として
監視ツールの導入提案を報告書に付記した。Z課長は、たとえ監視ツールを導入した
としても、③管理者が、今回の事故におけるV君のような対応を取った場合には、十
分な効果が望めないと考えた。そこで、根本的な対策のためには全社的な情報セキュ
リティポリシの策定と社内体制の整備が急務であるとの意見書を作成し、Y係長の報
告書とともに開発部長へ提出した。
設問1
本文中の【 a 】~【 d 】に入れる適切な字句を、それぞれ8字以内で答えよ。
設問2
Y 係長が、既にパスワードが漏えいしているE課長だけでなく、全社員にパスワード
の変更依頼を通知したのはなぜか。その理由を30字以内で述べよ。
設問3
サーバ2への対処に関する次の問いに答えよ。
(1)K主任が下線①の作業を行った理由を20字以内で述べよ。
(2)下線②の作業だけでは、"トロイの木馬"への対処として不十分である。
その理由と本来とるべき対処作業をそれぞれ30字以内で述べよ。
設問4
Z課長が下線③のように考えた理由を30字以内で述べよ。
オリジナル1
E課長以外のアカウントに関しては、いずれも10回ほどの失敗が記録されているが
ブルートフォースアタックにより、パスワードが解読される可能性がある。
RASで取れる対応策を答えよ。
オリジナル2
E課長のパスワードがE課長のアカウント名を逆順にしただけのものであったことが
不正侵入される原因となった。ユーザがパスワードを設定する際に、気を付けてお
きたいことは何か答えよ。
オリジナル3
開発部の対処作業においてY係長はインシデント対応の手順として行っていない処理
がある。それは何か答えよ。