平成16年度情報セキュリティアドミニストレータ午後Ⅰ問題（問3）

SEのための情報セキュリティ対策

情報セキュリティプロフェッショナル試験対策　過去問掲載

平成16年度情報セキュリティアドミニストレータ午後Ⅰ問題（問3）

→詳細な解説を見る

問3　情報系システムのウイルス対策に関する次の記述を読んで，設問1～4に答えよ。
　
　E社は衣料品を扱う，社員数300名の中堅商社である。E社では，全社員が情報を収集するための社外のWebサイトの閲覧と電子メールの利用ができるほか，商品情報などを提供するWebサイトを自社で運用している。情報系システムはシステム部が所管し，S君が利用者からの問合せに対応している。問合せに関して専門家のアドバイスが必要な場合は，設計，構築を行ったシステムインテグレータのF社に有償で支援を依頼している。
　E社の情報系システムの構成とファイアウォール（以下，FWという）のフィルタリング設定内容は，図1のとおりである。
　

(1)	イントラネットには，各部が運用するWeb_2～4の3台のWebサーバが設置され，社内の情報共有などに利用されている。営業部が運用するWeb_3では，最新の商品情報などが常に更新されている。
(2)	Web_1は社外向けWebサーバであり，会社情報と商品情報の発信のほか，商品に対するアンケート収集を行っている。発信する商品情報は，CGIプロセスがイントラネットに設置されたWeb_3から最新の情報を取得している。Web_1のCGIプロセスはWeb_3とだけ通信していて，プロトコルはHTTPを使っている。アンケートの結果はWeb_1のフォームから入力を受け，個人情報や商品情報などを含んだテキストファイルとして格納される。担当者が，システム部立会いのもとでサーバコンソールから随時ログインし，アンケート結果を取得した後，当該ファイルを削除している。
(3)	社員のメールボックスは，各部が運用するMail_2～4に設置されている。社員は，クライアントPCから所定のメールボックスに接続して電子メールを送受信する。外部との送受信は，すべてDMZに設置されたMail_1を経由して行われている。
(4)	社員が社外のWebサイトを閲覧するとき，及び社外のFTPサーバとファイルをやり取りするときは，すべてProxyを経由して行う。
(5)	Mail_1～4及びイントラネットの全ノートPCにウイルス対策ソフトが導入されウイルスやワームを常時監視している。ウイルスやワームが発見された場合は，アラームメールがS君に送られるようになっている。その場合，S君は運用マニュアルに従って初動措置を行い，必要に応じてF社にサポートを依頼する。ウイルス対策ソフトのアップデートは，毎日自動的にウイルス対策ソフトベンダサイトと通信して行われるほか，緊急時には，S君が全社員に電子メールなどでアナウンスし，社員各自が速やかに実行する規則になっている。
(6)	FWのフィルタリングは，図1のように設定されている。

　
〔第1の事件〕
　ある日，“Mail_3にワームUが侵入しようとしたので駆除した”というアラームメールがS君に届いた。ウイルス対策ソフトベンダサイトで検索したところ，図2のようなワームであることが判明した。
　

**図2　ワームUの特徴**
クライアントでの動作：　クライアント実行型ワームUが，電子メールの添付ファイルとしてクライアントPCに侵入し，利用者がこれを実行すると，アドレス帳にある任意のメールアドレスに対してクライアント実行型ワームUを添付した電子メールを送信する。さらに，IPアドレスをランダムに設定して，侵入可能なセキュリティホールがあるWebサーバを検索する。侵入可能なWebサーバを発見すると，サーバ実行型ワームUをプロトコルFTPで送り込み，実行させる。サーバでの動作：　サーバ実行型ワームUは，自身が動作中のWebサーバにアクセスしてくるブラウザにセキュリティホールを発見すると，クライアント実行型ワームUをプロトコルHTTPで送り込み，実行させる。また，ファイルのアクセス権限を変更し，サーバ上のテキストファイルを外部から読取り可能にする。

　
　ワームUはウイルス対策ソフトによって駆除されたので緊急に対処する必要性は低くなったが，感染経路を不審に思ったS君は，社内のウイルス対策ソフトの設定状況を一斉点検した。その結果，Mail_3を使用する営業部員1人のノートPCのウイルス対策ソフトが削除されていることを発見した。ウイルス対策ソフトを再インストールしたところ，ノートPCがワームUに感染していることが判明した。この営業部員は，日ごろから自宅や外出先でもこのノートPCを使っていたという。
　以上から，S君は，今回の事件を次のように推定した。ワームUが添付された電子メールを，営業部員が自宅か外出先で受信し，ノートPCがワームUに感染した。そのノートPCをイントラネットに接続し，ワームUに感染した電子メールを発信した。この感染した電子メールを，Mail_3のウイルス対策ソフトが検出した。
　S君は，〔1〕規則どおりにウイルス対策ソフトを運用するよう，全社員に徹底させた。
　
〔第2の事件〕
　事件が解決した直後，イントラネットでウイルス対策ソフトのアラームが多発した。さらに，見知らぬG社から“貴社のWebサイトにアクセスしたら，ワームUに感染した”との苦情が届いた。調査したところ，Web_1がワームUに感染していて，アクセスしてきた利用者のブラウザにセキュリティホールがある場合に，感染が広がる可能性があることが分かった。緊急事態と判断したシステム部長は，感染経路の究明と感染防止対策の検討をS君に指示する一方，図2に示すサーバでの動作を見て，感染拡大のほかにも〔2〕重大な問題が発生している可能性があると考え，調査を行った。
　S君はF社のJ氏に支援を依頼した。J氏は，図1，2を見て，Web_1への感染経路として，次の二つの可能性を指摘した。

(1)	インターネット上の，ワームUに感染している［　　a　　］から，サーバ実行型ワームUがプロトコル［　　b　　］でWeb_1に送り込まれた。
(2)	ワームUに感染した，営業部員のノートPCからイントラネット経由で，［　　c　　］型ワームUがプロトコルFTPでWeb_1に送り込まれた。

　こうした状況を踏まえ，今後，新種のウイルスやワームへの感染を防止するために，S君は次の対策を提案した。

(1)	［　　d　　］
(2)	［　　e　　］
(3)	FWのフィルタリング設定において，〔3〕必要以上に通信が許可されている設定があるので，制限を強化する。

　この提案は経営者に承認され，早速実行に移された。
　

　
設問1　本文中の［　　a　　］～［　　c　　］に入れる適切な字句を，解答群の中から選び，記号で答えよ。
　
解答群

ア　FTP	イ　HTTP	ウ　HTTPS
エ　SMTP	オ　Webサーバ	カ　クライアントPC
キ　クライアント実行	ク　サーバ実行	ケ　メールサーバ

　
設問2　S君の取った行動は，本文中の下線〔1〕だけでは不十分であった。ワームUの特徴が判明していたことを考えると，更にどの機器を対象に，どのような調査を行うべきであったか。35字以内で述べよ。
　

　
設問3　本文中の下線〔2〕に示した重大な問題とは何か。対象となる情報とセキュリティ事故について，20字以内で述べよ。
　

　
設問4　ウイルス，ワームへの感染防止に関する次の問いに答えよ。

(1)	本文中の下線〔3〕に示した，必要以上に通信が許可されている設定とは何か。機器間通信のうち，FTP通信に関する不要な例を一つ挙げ，15字以内で述べよ。
(2)	S君が本文中の［　　d　　］，［　　e　　］で提案している，ウイルス，ワームへの感染防止対策とは何か。対象機器と実施事項を含めて，それぞれ30字以内で述べよ。

→詳細な解説を見る

【午前】情報セキュリティアドミニストレータ
【午後】情報セキュリティアドミニストレータ

【午前】テクニカルエンジニア情報セキュリティ
【午後】テクニカルエンジニア情報セキュリティ

【午前】情報セキュリティプロフェッショナル
【午後】情報セキュリティプロフェッショナル

スポンサードリンク

スポンサードリンク

スポンサードリンク

免責事項　／　サイトマップ　／　リンク　／　　問い合わせ

平成16年度情報セキュリティアドミニストレータ午後Ⅰ問題 （問3）