午後対策②

「問題」


Q1 OSの脆弱性の別名


Q2 特定のサーバに大量のデータを送って過大な負担をかけ、サーバの

   パフォーマンスを極端に低下させたり、サーバを停止に追い込んだり

   する攻撃とは何か


Q3 ウィルス感染後、特定のPCやサーバから、感染したPCにログインできるように

   する攻撃手法は何か


Q4 ウィルスやワームへの感染を防止する対策を5つ以上あげよ










「解答」


Q1 セキュリティーホール


Q2 DDOS攻撃


Q3 バックドア


Q4 ・クライアントPCへのウィルス対策ソフトの導入

   ・サーバへのウィルス対策ソフトの導入

   ・セキュリティホールが存在していた場合には、セキュリティパッチの適用

   ・ノートPCを外部に持ち出している場合、ノートPCの持ち出し基準や

    その使用範囲を規定する

   ・ノートPCを外部に持ち出している場合、社内のネットワークに接続する前に

    ウィルス定義ファイルが最新かどうかセキュリティーホールがないかどうか

    検査してから社内ネットワークにつなぐことができるよう、検疫ネット‐ワークを

    導入する。

   ・FWで不要な通信が許可されていた場合は、制限する。




コンピュータウィルス、ワーム、スパイウェア等による攻撃

コンピュータウィルスとは、自己伝染機能、潜伏機能、発病機能のいずれか一つ以上をもち

意図的にデータの消去、改ざん等を行うように作られた悪質なプログラム


ワームとは、コンピュータウィルスの一種であるが宿主を必要とせず、感染したコンピュータ上で

自己増殖してデータの破壊、改ざん、ほかのコンピュータの攻撃等を行う悪質なプログラム

・ネットワーク感染型ワーム(MSBlaster)


トロイの木馬とは、一見すると正常動作しているように見えて、実際には裏で侵入者

のバックドアとして機能したり、ユーザのパスワードを記録したりするなど、不正な

振る舞いをする巧妙に作り変えられたプログラム


ボットとは、ワームの一種でコンピュータに感染するだけでなく、攻撃者によって遠隔地から

操作でき機能拡張なども行うよう作れたプログラム


スパイウェアとは、一般ユーザのパソコン上で動作し、本人の知らない間に趣味や嗜好、

個人情報などを収集しインターネット上の特定のサイトに送るプログラム



「問題」


Q1 どのような種類があるのか。


Q2 コンピュータウィルスやワームへの基本対策とは何か。


Q3 ネットワーク感染型ワームはどのようにして感染を広げていくのか。


Q4 ネットワーク感染型ワームへの有効な対策とは何か。


Q5 スパイウェアによってどのような問題が発生するか。


Q6 スパイウェアへの有効な対策とは何か。


Q7 ボットをワークはどのような違いがあるのか。


Q8 ボットネットと脅威とは何か、どのような問題が発生するのか。


Q9 ボットへの有効な対策とは何か。









「解答」


Q1 

  コンピュータウィルス

  ワーム

  トロイの木馬

  スパイウェア

  ボット


Q2

  ゲートウェイ上での対策


  ・フィイアウォールを用いて不要なポートへのアクセスを双方向で遮断する

  ・ゲートウェイ型ウィルス対策ツールを用いてメールに添付されたウィルスを駆除する

  ・IPSを用いて悪意あるコードを検知し遮断する

  ・コンテンツフィルタリングツールや不正プログラム対策機能をもつプロキシサーバ

   を導入し、不正なWebサイトへのアクセスや不正なファイルのダウンロードを防ぐ


  クライアント環境での対策


  ・すべてのコンピュータにウィルス対策ツールをインストールし、ウィルス定義

   ファイルを毎日更新する

  ・OSや使用しているソフトウェアを最新バージョンにするとともに最新のパッチを

   適用する

  ・OS標準のファイアウォール機能を有効にする

  ・必要に応じてパーソナルファイアウォールを導入する

  ・外部より入手したファイルや共有するファイルはウィルス検査後に使用する

  ・メールや記憶媒体等でファイルを送る場合は事前にウィルス検査をする



Q3

  ネットワーク感染型ワームは、ネットワーク上に、OS等の脆弱性があるコンピュータに

  攻撃を行い感染を広げていく。


Q4

  ウィルス対策ソフトの導入、ファイアフォールの導入、パッチの適用等、Q2の解答を同じ


Q5

  本人の知らないうちに、リファラ(referer)情報(ユーザがアクセスしたURLについての

  Webブラウザからの情報、IPアドレス、システム情報)等を収集し、特定の宛先に送信されてしまう。


Q6

  ウィルス対策ソフトやスパイウェア専用ツールを使用して駆除する


  コンテンツフィルタリングツールや不正プログラム対策機能をもつ

  プロキシサーバを導入し、不正なWebサイトへのアクセスや

  不正なファイルのダウンロードを防ぐ。


Q7

  ボットには、攻撃者によって遠隔地から操作ができ不正な行為をさせることができる機能が

  存在する


Q8

  同一の指令サーバにあるボットに感染した無数のコンピュータは、同一の指令サーバから

  一斉にコントロールできるネットワークを形成する。これをボットネットという。


Q9

  ウィルス対策ソフト、ファイアウォールの導入、セキュリティパッチの適用等、

  Q2の対策と行う。


  ファイアフォールを用いてIRC、IM、PtoPなど不要なサービスやポートへのアクセスを

  遮断する


  IRCやIM、PtoPなど業務に無関係なソフトウェアの使用を禁止する。



午後対策①

問1 各社内サーバのログを相互に参照するようにした場合、ログ設定以外にも

    システム的な設定変更が必要だが、これは何か


問2 ログに対する脅威とは何か


問3 各社内サーバのログを専用のログサーバに保存することは、問2の脅威の対抗策と

    なる理由を述べよ



問4 なりすましの発生をログの監視によって直接検知することができない理由を述べよ


問5 ログの監視によって、ログイン・ログアウトのパターンが普段と異なっているアカウントを

    発見するために普段から行っておくべき内容を述べよ










「解答」


問1 各サーバの時刻を合わせる設定をする

    NTPによる時刻同期


問2 ログの改ざん


問3 各サーバのログとログサーバのログを比較すると、ログの改ざんが行われたかどうか

    容易に確認できる。

    また、各サーバのログを消去されても、ログサーバのログがバックアップを果たすことが

    可能だから

改ざんの検出、バックアップ


問4 アカウント名や送信元IPアドレス等のログ情報では、借りたアカウントでアクセスしたか判断できない


問5 アカウントごとにアクセスした時刻、送信元IPアドレス、状態コード(ログイン成功の可否)等の情報を

    一元管理し、その内容を記録しておく。