こんにちは、mokakoです。
今回は情報処理安全確保支援士試験の令和元年度 秋期 午後Ⅰ 問3を解説していきたいと思います!
※この解説ブログでは、あくまでも私自身が解いた備忘録となりますので、間違いなどを発見された場合はどうぞ教えていただけますと幸いです。
下記より問題文と解答を引用しております。
問題
出典:令和元年度 秋期 情報処理安全確保支援士試験 午後Ⅰ 問3
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_ans.pdf
では早速解説してまいります!
設問1
(1)メモリ上の情報が失われないようにするため
解説
不審PCの電源を入れたままにしておく理由を答えます。メモリ上の情報はいわゆる揮発性を持っていて、PC電源を落とすと消えてしまいます。メモリ上になんらかの証拠となる情報があるかもしれないので、デジタルフォレンジックの観点から感染した疑いのあるPCは、すぐには電源を落とさないのが一般的です。
(1)①・J社情報システムに感染を拡大する。
②・インターネットに情報を送信する。
解説
不審PCを利用者LANから切り離す理由を答えます。
感染が疑われた場合、すぐにLANから切り離すのはよくある手順なので、なんとなく、理由も思い浮かぶかもしれません。ここでp14[標的型攻撃対策]の4行目にも感染拡大防止、情報漏えい防止も取り入れるべきであり、という記述があるので、それも参考に二つの観点から理由を書けるとよいです。
設問2
(1)a. ウ b. イ c. オ d. ア
解説
一つずつ見ていきます。Windowsのコマンドの問題ですが、意味的に推測できそうです。知っている順に埋めていき、知らないものは消去法で解きました。
自信がある順で見ていきます。
・ipconfig /allはIPネットワークの構成情報を確認できるので、ウが正解となります。
・tasklistは現在動いているタスクを確認することができるので、オ。
ここで残っているのはア、イ、エ、カです。
・systeminfoは使ったことがありませんが、システムの情報なので残っている中だと、イかなあと推測できました。
・net viewもあまり使いませんが、ネットワーク系であることは確かなので、残ったア、エ、カで考えるとアであることが推測できます。
設問3
(1)e. IPアドレスw1.x1.y1.z1との通信履歴
解説
E部長は13:17:15より前の、ログ蓄積サーバ中のFWのログを確認する必要があると言っています。その前のGさんの発言から、Pサービスから新たな通知は来ていないが、それだけでは感染したのがL-PCだけだと断定することはできない、ということです。
また、表1のPサービスの概要欄に注目すると、PサービスではFWのログは蓄積せず、過去に遡っての分析はしない、との記述があります。仮に以前にIPアドレスw1.x1.y1.z1と通信したPCがあってもPサービスでは検知することができません。
そこでログ蓄積サーバ中のFWのログ中にIPアドレスw1.x1.y1.z1との通信があるかどうかを確認することで、今回と同じC&Cサーバとの通信をしたPC、すなわちマルウェアMに感染したPCがないかを確認することができます。
(2)感染したが、C&Cサーバと通信する前にネットワークから切り離された状態
解説
今回、E部長の発言からFWのログでは検知できないが、Rログでは検知できるのはどのような場合かという問題なので、まずはRログとFWのログの違いを考えます。
まず、RログとはPCに導入されたエージェントプログラムによって収集される全てのプロセスの生成から終了までの動作、実行したプログラムの情報のログです。つまりログが出力されるのは、マルウェアがPC内でなんらかの挙動を行った時になります。
一方でFWのログとはインターネットとの通信ログです。つまり、ログが出力されるのは、C&Cサーバと通信した時になります。
これを踏まえて、Rログが出力されるのにFWのログが出力されない、言い換えると感染してもインターネットと通信できないのはどのような状態でしょうか。
設問1の(2)で被害が大きくならないためにLANを切り離すという対応を行いました。もしも感染後、C&Cサーバとの通信を行う前にネットワークから切り離された場合、PCではマルウェアが特定の挙動を行うのでRログには出力されますが、通信は行えないので、FWのログは出力されません。したがって、感染後、C&Cサーバと通信する前にLANから切り離された状態の時、Rログでのみ検知することができます。
(3)RログをマルウェアMのハッシュ値で検索する。
解説
Rログと言っているので、表1のRシステムの概要にて記述されているRログの活用方法を読み解きます。
最後の文に注目します。管理サーバにはRログを検索する機能があり、情シ部員はRログをマルウェアのハッシュ値で検索することによって調査することができる、との記述があるので、今回はマルウェアMのハッシュ値で検索することで感染を検知することができます。
コメント