情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問16: ダウンローダ型マルウェアが内部ネットワークのPCに感染したとき，そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として

問題本文

ダウンローダ型マルウェアが内部ネットワークのPCに感染したとき，そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として，最も有効なものはどれか。

選択肢

• ア.URLフィルタを用いてインターネット上の危険なWebサイトへの接続を遮断する。
• イ.インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
• ウ.スパムメール対策サーバでインターネットからのスパムメールを拒否する。
• エ.メールフィルタで他サイトへの不正メール発信を遮断する。

正解

ア. URLフィルタを用いてインターネット上の危険なWebサイトへの接続を遮断する。

解説

ダウンローダ型マルウェアは、感染後に外部の配布サーバへ接続し追加のマルウェア本体を取得する。これを防ぐ最有効策は、外向き通信の宛先を制御してインターネット上の危険なサイトへの接続を遮断すること。よってURLフィルタで危険サイト接続を遮断するアが正しい。実務では出口対策(アウトバウンド制御)やプロキシ強制、C2通信の遮断が重要になる。

選択肢ごとの解説

• ア.URLフィルタで危険サイトへの外向き接続を遮断し追加DLを阻む点が、最も有効な正解。
• イ.IPSによる外部からの侵入防止は入口対策で、感染端末からの外向きDLは直接防げない。
• ウ.スパムメール拒否は初期感染の予防策であり、感染後の追加ダウンロード自体は防げない。
• エ.他サイトへの不正メール発信遮断は二次拡散対策で、マルウェア取得の防止には直結しない。