Tomのネットワーク勉強ノート

過去問（午後）

情報セキュリティ アドミニストレータ過去問（午後）

情報セキュリティ アドミニストレータ過去問 平成16年　午後1　問3

問3

情報系システムのウイルス対策に関する次の記述を読んで,設問1〜4に答えよ。

E社は衣料品を扱う,社員数300名の中堅商社である。E社では,全社員が情報を
収集するための社外のWebサイトの開覧と電子メールの利用ができるほか,商品情
報などを提供するWebサイトを自社で運用している。情報系システムはシステム部
が所管し,S君が利用者からの問合せに対応している。問合せに関して専門家のアド
バイスが必要な場合は,設計,構築を行ったシステムインテグレータのF社に有償で
支援を依頼している。
E社の情報系システムの構成とファイアウォール(以下,FWという)のフィルタ
リング設定内容は,図1のとおりである。


図1 E社の情報系システムの構成とFWのフィルタリング設定内容

(1)イントラネットには,各部が運用するWeb_2〜4の3台のWebサーバが設置され,
　　社内の情報共有などに利用されている。営業部が運用するWeb_3では,最新の商品
　　情報などが常に更新されている。

(2)Web_1は社外向けWebサーバであり,会社情報と商品情報の発信のほか,商品に
　　対するアンケート収集を行っている。発信する商品情報は,CGIプロセスがイント
　　ラネットに設置されたWeb_3から最新の情報を取得している。Web_1のCGIプロセ
　　スはWeb_3とだけ通信していて,プロトコルはHTTPを使っている。アンケート
　　の結果はWeb_1のフォームから入力を受け,個人情報や商品情報などを含んだテ
　　キストファイルとして格納される。担当者が,システム部立会いのもとでサーバコ
　　ンソールから随時ログインし,アンケート結果を取得した後,当該ファイルを削除
　　している。
(3)社員のメールボックスは,各部が運用するMail_2〜4に設置されている。社員
　　は,クライアントPCから所定のメールボックスに接続して電子メールを送受信す
　　る。外部との送受信は,すべてDMZに設置されたMail_1を経由して行われている。
(4)社員が社外のWebサイトを開覧するとき,及び社外のFTPサーバとファイルを
　　やり取りするときは,すべてProxyを経由して行う。
(5)Mail_1〜4及びイントラネットの全ノートPCにウイルス対策ソフトが導入され,
　　ウイルスやワームを常時監視している。ウイルスやワームが発見された場合は,ア
　　ラームメールがS君に送られるようになっている。その場合,S君は運用マニュア
　　ルに従って初動措置を行い,必要に応じてF社にサポートを依頼する。
　　ウイルス対策ソフトのアップデートは,毎日自動的にウイルス対策ソフトベンダ
　　サイトと通信して行われるほか,緊急時には,S君が全社員に電子メールなどで
　　アナウンスし,社員各自が速やかに実行する規則になっている。
(6)FWのフィルタリングは,図1のように設定されている。

〔第1の事件〕
ある日,“Mail_3にワームUが侵入しようとしたので駆除した"というアラームメ
ールがS君に届いた。ウイルス対策ソフトベンダサイトで検索したところ,図2のよ
うなワームであることが判明した。

クライアントでの動作： 　クライアント実行型ワームUが,電子メールの添付ファイルとしてクライアントPCに侵入 　し,利用者がこれを実行すると,アドレス帳にある任意のメ‐ルアドレスに対してクライアン 　ト実行型ワームUを添付した電子メールを送信する。さらに,IPアドレスをランダムに設定し 　て,侵入可能なセキュリティホールがあるWebサーバを検索する。侵入可能なWebサーバを発 　見すると,サーバ実行型ワームUをプロトコルFTPで送り込み,実行させる。 サーバでの動作： 　サーバ実行型ワームUは,自身が動作中のWebサーバにアクセスしてくるブラウザにセキュ 　リティホールを発見すると,クライアント実行型ワームUをプロトコルHTTPで送り込み,実 　行させる。また,ファイルのアクセス権限を変更し,サーバ上のテキストファイルを外部から 　読取り可能にする。

図2 ワームUの特徴

ワームUはウイルス対策ソフトによって駆除されたので緊急に対処する必要性は低
くなったが,感染経路を不審に思ったS君は,社内のウイルス対策ソフトの設定状況
を一斉点検した。その結果,Mail_3を使用する営業部員1人のノー卜PCのウイルス
対策ソフトが削除されていることを発見した。ウイルス対策ソフトを再インストール
したところ,ノートPCがワームUに感染していることが判明した。この営業部員は,
日ごろから自宅や外出先でもこのノートPCを使っていたという。
以上から,S君は,今回の事件を次のように推定した。ワームUが添付された電子
メールを,営業部員が自宅か外出先で受信し,ノートPCがワームUに感染した。そ
のノートPCをイントラネットに接続し,ワームUに感染した電子メールを発信した。
この感染した電子メールを,Mail_3のウイルス対策ソフトが検出した。
S君は,�@規則どおりにウイルス対策ソフトを運用するよう,全社員に徹底させた。

〔第2の事件〕
事件が解決した直後,イントラネットでウイルス対策ソフトのアラームが多発した。
さらに,見知らぬG社から"貴社のWebサイトにアクセスしたら,ワームUに感染
した"との苦情が届いた。調査したところ,Web_1がワームUに感染していて,アク
セスしてきた利用者のブラウザにセキュリティホールがある場合に,感染が広がる可
能性があることが分かった。緊急事態と判断したシステム部長は,感染経路の究明と
感染防止対策の検討をS君に指示する一方,図2に示すサーバでの動作を見て,感染
拡大のほかにも�A重大な問題が発生している可能性があると考え,調査を行った。
S君はF社のJ氏に支援を依頼した。J氏は,図1,2を見て,Web_1への感染経路と
して,次の二つの可能性を指摘した。

(1)インターネット上の,ウームUに感染している【 a 】から,サーバ実行
　　型ワームUがプロトコル【 b 】でWeb_1に送り込まれた。
(2)ワームUに感染した,営業部員のノートPCからイントラネット経由で,
　　【 c 】型ワームUがプロトコルFTPでWeb_1に送り込まれた。
　　こうした状況を踏まえ,今後,新種のウイルスやワームヘの感染を防止するために, 
　　S君は次の対策を提案した。

(1)【 d 】
(2)【 e 】
(3) FWのフィルタリング設定おいて,�B必要以上に通信が許可されている設定
　　があるので,制限を強化する。
　　この提案は経営者に承認され,早速実行に移された。

設問1

本文中の【 a 】〜【 c 】に入れる適切な字句を,解答群の中から
選び,記号で答えよ。

解答群
	ア	FTP	イ	HTTP	ウ	HTTPS
	エ	SMTP	オ	Webサーバ	カ	クライアントPC
	キ	クライアント実行	ク	サーバ実行	ケ	メールサーバ

設問2

S君の取った行動は,本文中の下線�@だけでは不十分であった。ワームUの特
徴が判明していたことを考えると,更にどの機器を対象に,どのような調査を行
うべきであったか。35字以内で述べよ。

設問3

本文中の下線�Aに示した重大な問題とは何か。対象となる情報とセキュリティ
事故について,20字以内で述べよ。

設問4

ウイルス,ワームヘの感染防止に関する次の問いに答えよ。

(1)本文中の下線�Bに示した,必要以上に通信が許可されている設定とは何か。
　　機器間通信のうち,FTP通信に関する不要な例を一つ挙げ,15字以内で述べよ。

(2)S君が本文中の【 d 】,【 e 】で提案している,ウイルス,ワー
　　ムヘの感染防止対策とは何か。対象機器と実施事項を含めて,それぞれ30字
　　以内で述べよ。

Tomのネットワーク勉強ノート

過去問（午後）

情報セキュリティ アドミニストレータ過去問（午後）

情報セキュリティ アドミニストレータ過去問 平成16年　午後1　問3