min117の日記

初期desireもち。趣味Mac,メインFedora,仕事xp。

情報処理安全確保支援士(SC)平成30年度 秋期 午後Ⅰ 問2 解答例(2018年10月21日実施)

本日 2018年10月21日(日)実施情報処理安全確保支援士試験(SC)

午前に引き続いて午後も受験した。

min117.hatenablog.com

 

 

 。記述式。問1、問2、問3の3つのうちから2つを選んで回答する。

問2と問3を選択した。

f:id:min117:20181021230326j:plain

 

うち、まずは問2 について

自分なりの解答例。

f:id:min117:20181021225853j:plain

f:id:min117:20181021225902j:plain

f:id:min117:20181021225931j:plain

f:id:min117:20181021225912j:plain

f:id:min117:20181021225921j:plain

 

f:id:min117:20181021225936j:plain

解答は全て個人的な予測であって正確ではない。

あくまで自分なりの解答で、正直自信はない。

 

★印は、末尾に詳細解説あり。

設問1

 a:ウ 2G

 b:ス VLANタグ

 c:ソ ロードバランサ

 e:エ ARP(リクエスト)

 f:オ CVE(形式)

設問2

(1)SYN+ACK(8字以内)

(2)★1

 (スキャンが件数の上位に登場しない理由)

  a:同一セグメントの範囲の通信のため到達しないから。(25字以内)

  b:L2SWの通信がL3SWまで到達しないから。(25字以内)

設問3 ★2

(1)PC101、PC133、PC301、PC321、PC340

(2)オのみ(192.168.0.32)

設問4

(1) ★3

 セキュリティ修正プログラムが未適用か(30字以内)

 マルウェア対策ソフトの定義ファイルが更新されていないか(30字以内)

(2) ★4

 ブロードキャストに応答しない設定にする。(25字以内)

 

<感想>

 2017年4月に大流行したWannaCry(ワナクライ)というランサムウェアを題材にした出題だろうと思う。実務でもSMB(ポート445)経由の通信がないか、話題になってたし。

 インシデントの内容はつかめるけど、解答欄の入力に収めるのがとても難しいと感じた。単語の理解が正確でないので、aからe(知っていれば確実に得点できる)の解答があやふやなのが悔やまれる。次回は単語の理解を正確にしていこう。

 

<詳細解説>

★1について

a:

 図3に「(マルウェアは)同一セグメントの範囲(でしかスキャンしない)」とあるから、

 f:id:min117:20181023072457p:plain

 マルウェアからの(445/TCPポートの)スキャンは図110.100.130.0/24のセグメントに限られる

 f:id:min117:20181023072735p:plain

 しかし、NSMセンサがあるのは別のセグメントなので

 f:id:min117:20181023073430p:plain

(このマルウェアによる445/TCPポートスキャンを)検知できるはずがない

 f:id:min117:20181023073046p:plain

 これをわずか25字以内で表現するのは至難の業だった。もっと訓練が必要だ。

 

b:

 L2スイッチ(L2SW)ではブロードキャストがセグメントを超えることはないわけだから、マルウェアが(図1の)10.100.130.0/24のセグメントで445/TCPポートスキャン(するためのブロードキャストを発出)しても、それが他のセグメントに行くはずがない

 

★2について 

 「ワームVに感染したと判断すべきPC」は PC101、PC133、PC301、PC321、PC340 と解答した。理由を、順を追ってみてみる。

 

 まず、今回起こったことの全体像は、要は

 f:id:min117:20181026003537p:plain

 無線LANのPCが最初にワーム感染

 ・そのPCから(ワームによる)445/TCPスキャンが開始されたのを

 ・APが通信ログ(表1)に落としている

 ということだ。

 

 これを踏まえて表1を見る必要がある。

 f:id:min117:20181026005942p:plain

 表1は 宛先IPアドレスがG社の利用していないIPアドレスであり、かつ、宛先ポートが445/TCPのもの」を示した表だと言っている。

 これはつまり、「ワームの活動=スキャン=図3にある2つのスキャン(aとb) のうちスキャンbのログだ」ということだ。

 f:id:min117:20181026010722p:plain

 感染したPCは、1.1.1.1 から 223.255.255.255 までを順にスキャンしていく。イメージでいうとこんな感じだろう。

 f:id:min117:20181026013902p:plain

 余談だけど、ソースコードはおおむねこんなだろう。 

 f:id:min117:20181026020738p:plain

 そのスキャン通信がAP1のログ(表1)に載った。

 f:id:min117:20181026004116p:plain

 読み取ると

  ・10/28 14:25:02 に PC(192.168.0.32が最初に感染した

  ・このPCはAPに無線LANで接続した

  ・APは、PC(192.168.0.32からの通信をNAPTで自分のアドレス(10.100.130.1)に変換し、内部と通信できるようにした。

  ・通信の宛先(スキャン先)は1.1.1.1 で、宛先ポートは445である

 ことが分かる。つまりスキャン(b)を行なっている。すなわちワームに感染しているということだ。

 同様に

  14:26:45にある 192.168.0.8

  14:27:18にある 192.168.0.44

  16:52:50にある 192.168.0.12

 が感染したことは確定する。

 

 あとは、DHCPによるIPアドレスのリース期間が1時間だけ(P8)という前提で

 f:id:min117:20181026020334p:plain

 表1と表2を比べて読み解けば、感染PCを特定できる。

 f:id:min117:20181026020109p:plain

 

★3について

 あとで書く

★4について

 あとで書く

 

 

引き続き「問3」の解答例。

min117.hatenablog.com

 

<解答ノウハウ>

f:id:min117:20181027104931p:plain

f:id:min117:20181027104938p:plain

f:id:min117:20181027104942p:plain

f:id:min117:20181027104946p:plain

f:id:min117:20181027104950p:plain

f:id:min117:20181027104953p:plain

f:id:min117:20181027105000p:plain

f:id:min117:20181027105012p:plain

f:id:min117:20181027105021p:plain

f:id:min117:20181027105025p:plain

f:id:min117:20181027105029p:plain

f:id:min117:20181027105032p:plain

f:id:min117:20181027105039p:plain

f:id:min117:20181027105046p:plain