本日 2018年10月21日(日)実施の情報処理安全確保支援士試験(SC)。
午前に引き続いて午後も受験した。
午後Ⅰ 。記述式。問1、問2、問3の3つのうちから2つを選んで回答する。
問2と問3を選択した。
うち、まずは問2 について。
自分なりの解答例。
解答は全て個人的な予測であって正確ではない。
あくまで自分なりの解答で、正直自信はない。
★印は、末尾に詳細解説あり。
設問1
a:ウ 2G
b:ス VLANタグ
c:ソ ロードバランサ
f:オ CVE(形式)
設問2
(1)SYN+ACK(8字以内)
(2)★1
(スキャンが件数の上位に登場しない理由)
a:同一セグメントの範囲の通信のため到達しないから。(25字以内)
b:L2SWの通信がL3SWまで到達しないから。(25字以内)
設問3 ★2
(1)PC101、PC133、PC301、PC321、PC340
(2)オのみ(192.168.0.32)
設問4
(1) ★3
セキュリティ修正プログラムが未適用か(30字以内)
マルウェア対策ソフトの定義ファイルが更新されていないか(30字以内)
(2) ★4
ブロードキャストに応答しない設定にする。(25字以内)
<感想>
2017年4月に大流行したWannaCry(ワナクライ)というランサムウェアを題材にした出題だろうと思う。実務でもSMB(ポート445)経由の通信がないか、話題になってたし。
インシデントの内容はつかめるけど、解答欄の入力に収めるのがとても難しいと感じた。単語の理解が正確でないので、aからe(知っていれば確実に得点できる)の解答があやふやなのが悔やまれる。次回は単語の理解を正確にしていこう。
<詳細解説>
★1について
a:
図3に「(マルウェアは)同一セグメントの範囲(でしかスキャンしない)」とあるから、
マルウェアからの(445/TCPポートの)スキャンは図1の10.100.130.0/24のセグメントに限られる。
しかし、NSMセンサがあるのは別のセグメントなので
(このマルウェアによる445/TCPポートスキャンを)検知できるはずがない。
これをわずか25字以内で表現するのは至難の業だった。もっと訓練が必要だ。
b:
L2スイッチ(L2SW)ではブロードキャストがセグメントを超えることはないわけだから、マルウェアが(図1の)10.100.130.0/24のセグメントで445/TCPポートスキャン(するためのブロードキャストを発出)しても、それが他のセグメントに行くはずがない。
★2について
「ワームVに感染したと判断すべきPC」は PC101、PC133、PC301、PC321、PC340 と解答した。理由を、順を追ってみてみる。
まず、今回起こったことの全体像は、要は
・無線LANのPCが最初にワーム感染し
・そのPCから(ワームによる)445/TCPスキャンが開始されたのを
・APが通信ログ(表1)に落としている
ということだ。
これを踏まえて表1を見る必要がある。
表1は 「宛先IPアドレスがG社の利用していないIPアドレスであり、かつ、宛先ポートが445/TCPのもの」を示した表だと言っている。
これはつまり、「ワームの活動=スキャン=図3にある2つのスキャン(aとb) のうち、スキャンbのログだ」ということだ。
感染したPCは、1.1.1.1 から 223.255.255.255 までを順にスキャンしていく。イメージでいうとこんな感じだろう。
余談だけど、ソースコードはおおむねこんなだろう。
そのスキャン通信がAP1のログ(表1)に載った。
読み取ると
・10/28 14:25:02 に PC(192.168.0.32)が最初に感染した
・このPCはAPに無線LANで接続した
・APは、PC(192.168.0.32)からの通信をNAPTで自分のアドレス(10.100.130.1)に変換し、内部と通信できるようにした。
・通信の宛先(スキャン先)は1.1.1.1 で、宛先ポートは445である
ことが分かる。つまりスキャン(b)を行なっている。すなわちワームに感染しているということだ。
同様に
14:26:45にある 192.168.0.8
14:27:18にある 192.168.0.44
16:52:50にある 192.168.0.12
が感染したことは確定する。
あとは、DHCPによるIPアドレスのリース期間が1時間だけ(P8)という前提で
表1と表2を比べて読み解けば、感染PCを特定できる。
★3について
あとで書く
★4について
あとで書く
引き続き「問3」の解答例。
<解答ノウハウ>