[https://www.youtube.com/watch?v=vjeUlI4DZkA:embed:cite]

平成29年度春期応用情報技術者試験午後問1「情報セキュリティ」の過去問解説動画です。電子機器開発会社T社を舞台に、社内LANからDMZのプロキシ経由でWeb閲覧を行う環境での標的型攻撃対策を扱います。特定のWebサイト改ざんによる「水飲み場型攻撃」の仕組みや、HTTP通信に紛れるバックドア通信の検知、ログ監査におけるNTP時刻同期の重要性など、実務的なセキュリティ知識を深掘りします。 本動画で扱う中心的なテーマは標的型攻撃の一種である水飲み場型攻撃の脅威と対策です。これは攻撃者が特定の企業や組織を狙う際、その組織のメンバーが日常的に業務や情報収集で利用するWebサイトを特定し、そのWebページ自体を改ざんしてマルウェアを仕込む手口を指します。メールに添付されたウイルスファイルを開かせる手口とは異なり、ユーザーが信頼しているサイトを閲覧するだけで感染するドライブバイダウンロード攻撃が行われるため、OSやブラウザの脆弱性を突かれないよう常にセキュリティパッチを適用しておくことが前提となります。また、万が一マルウェアに感染した場合、攻撃者の指令サーバであるC&Cサーバとの間でバックドア通信が発生しますが、この通信には一般的にWeb閲覧で使用されるHTTPプロトコルが悪用される点も重要です。ファイアウォールでは通常の業務上のWebアクセスと攻撃通信の区別がつかず通信を許可してしまうため、出口対策としてプロキシサーバでのURLフィルタリングや詳細なログ分析が必要不可欠となります。さらに本問題ではプロキシ認証導入時の注意点として、Webブラウザのオートコンプリート機能を無効化することの重要性が説かれています。これはブラウザに保存された認証情報がマルウェアによって窃取されるリスクを防ぐためです。こうした技術的な防御に加え、インシデント発生時の事後対応としてログ監査の精度を高めるための環境整備も問われます。複数のネットワーク機器のログを突き合わせて相関分析を行う際、各機器の時刻がずれていると事象の正確な前後関係や因果関係を把握できなくなるため、NTPサーバをDMZに導入し組織内の全機器の時刻を同期させる必要があります。これに伴いファイアウォールには社内LANからDMZへ、そしてDMZからインターネット上の信頼できるNTPサーバへの通信を許可するフィルタリングルールを追加するというネットワーク構成の変更も学習のポイントです。ログの分析においては、短時間に大量の認証失敗が記録されている場合は総当たり攻撃を疑うといった具体的な検知手法や、CSIRTの設置やセキュリティ教育といった組織的な対応体制の構築まで、技術と運用の両面から包括的なセキュリティ対策を理解することが求められます。