CTF問題「マルウェアの作成した自動起動設定を発見せよ」から学べる知識とは：CTF問題から学ぶセキュリティ基礎知識（4）

情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。第4回は、「マルウェアの作成した自動起動設定を発見せよ」という問題について解説します。

　情報セキュリティの技術を競うコンテスト「CTF（Capture The Flag）」は、セキュリティ教育や優秀な人材発掘に役立てようとする組織や企業で注目される、実践的な学習の環境でもあります。本連載「CTF問題から学ぶセキュリティ基礎知識」では、筆者が所属する会社で実施している社内向けのセキュリティコンテスト（CTF）の問題を中心に毎回一問一答をしていきます。

　今回は、インシデントレスポンスチームの一員になって社内のセキュリティインシデントに立ち向かうシチュエーションの問題です。普段の業務でインシデントレスポンスを担当している方は少ないかもしれませんが、このようなコンテストの問題を通して、現実のマルウェアの挙動を体験することができます。

問題

　今回は「フォレンジック」ジャンルの問題です。記事の都合上、きちんと調査をするには少し情報が足りないかもしれませんが、どのような方針で解答するのかを考えてみましょう。

ジャンル：フォレンジック

　あなたは、インシデントレスポンスチームの一員です。チームの先輩から、次のようにメールで指示がありました。

　「あるPCがマルウェアに感染した。至急、添付のファイルからマルウェアのエントリを見つけてくれ」

　添付ファイルは、「Autoruns」というソフトウェアの実行結果のようです。あなたは、「なるほど、マルウェアが永続化のために作成した自動起動設定を探るのだな」と、先輩の指示を理解しました。添付ファイルから、マルウェアによって作成されたと思われるエントリを全て探してください。

【注意】この問題の解答は特定の形式の文字列ではありません。マルウェアによって作成されたと思われるエントリ名（Autoruns上の「Autorun Entry」、XMLファイル上の「itemname」に該当する部分）を全て解答してください。

【添付ファイル1】autoruns_output.arn

【添付ファイル2】autoruns_output.xml

※画像は各添付ファイルの一部を抜粋

この問題から学べる知識

　この問題に取り組むことで、以下のようなセキュリティに関する知識を学ぶことができます。

• マルウェアの永続化とその方法
• 不審なプログラムの特定方法

問題の解き方

　前提としてCTFは、その名の通り、「フラグ」を見つけることが正解の条件です。フラグは、大会ごとに決められた特定の形式の文字列である場合が多いですが、今回の問題は文字列の形式に指定がなく、「発見したエントリを全て解答する」方式です。

解き方の方針

　マルウェアが永続化のために作成した自動起動設定とは、感染したPCがシャットダウンされた場合にも起動時に再度マルウェアを実行させるための設定のことです。全てのエントリの中から信頼できるソフトウェアを除外していくと、マルウェアによって作成された不正なエントリを特定できます。与えられた添付ファイルの内容を確認し、注目すべきエントリを抽出してみましょう。

自動起動設定データの確認