min117の日記

初期desireもち。趣味Mac,メインFedora,仕事xp。

情報処理安全確保支援士(SC)令和元年度 秋期 午後Ⅰ 問3 解答例(2019年10月20日実施)

資格試験

昨日 2019年10月20日(日) 実施の情報処理安全確保支援士試験(SC)。

 

。記述式。問1、問2、問3の3つのうちから2つを選んで回答する。

問2と問3を選択した。

f:id:min117:20191021073424j:plain


問2に続き問3の解答速報を書く(あくまで個人の回答。正解かは分からない)。

f:id:min117:20191021213102p:plain

 

令和元年度 期 午後Ⅰ 問3 解答例

設問1

(1)電源を切ることで証跡が消えてしまう場合があるため(25字以内)

(2)

 他のサーバやPCと通信し感染を拡大させる(という活動)(20字以内)

 外部と通信して情報を漏えいさせる(という活動)(20字以内)

設問2

 a  ipconfig /all ネットワークアダプタ詳細情報の取得

 b  systeminfo OSのバージョンや修正プログラムの適用状況

 c  tasklist 実行中のプロセス一覧の取得

 d  net view その時点で接続可能な端末の一覧

設問3

(1)他のPCからC&Cサーバへの通信ログ(25字以内)

(2)電源が落ちている等でマルウェアが活動せず通信が発生していない状態(40字以内)

(3)管理サーバにあるマルウェアMのハッシュ値とRログを比較する(30字以内)

 

 

<思考のメモ>

電源を抜かない理由

・例えば2017年に流行したウイルスWannaCryでは「感染したWindowsXPパソコンの電源を抜いたことでウイルスの証跡(痕跡)が消えてしまった」と報じていた気がする。

・電源断によって毎回必ず消えるわけではないので、消える場合があるからで解答してみた。

・問題文が「目的を…述べよ」なので「…のため」で答えている。

 

不審PCを利用者LANから切り離さない場合の影響

・問題文では「どのような活動をすると想定されるか?」と聞かれているだけでなく、さらに「J社にとって望ましくないものを2つ挙げよ」と畳み掛けている。

・ということは、J社が何に困っているかが問題文のどこかに2つあると言っているのだろう。

・そこでそもそもJ社がなぜコンサルまで入れて対策したかを、問題文の14ページから読み解いてみると

 f:id:min117:20191022102556p:plain

 感染拡大防止と情報漏洩防止のためだと分かる。

・これがJ社にとって望ましくない2つだろうから、解答にそのまま入れた。

 他のサーバやPCと通信し感染を拡大させる(という活動)(20字以内)

 外部と通信して情報を漏えいさせる(という活動)(20字以内)

 

L-PC上で実行されていたコマンド

・これは簡単すぎる問題だった。正答率は相当上がるのではないかと思う。

・コマンドからしてL-PCはWindowsだと分かる。

・dirするならオプションは(/aより)/s /bのほうが便利だろうという気もする。

 

13:17:15より前のログ蓄積サーバの中のFWログ

・18ページのでE部長が「ほかにもマルウェアMに感染したPCまたはサーバがある場合を想定する必要があるのではないか」と言っている。

・担当レベルでは「今回の件はこれ(このPCのみ)で終わり」となりがち。

管理者は常に全体を見ているので他に影響がないかを気にするのは当然だろう。

 …だって他の部署に感染拡大したり迷惑かけたら昇進にも影響するし。

 …そんな打算なく仕事に真摯(だから気にする)上司もいるだろうけど。

・そうすると、他のPCが感染していたものと仮定して、ログ蓄積サーバの中のFWログに、他のPCが感染してC&Cサーバに通信したログ(=他のPCからC&Cサーバへの通信ログ)がないか調べる指示を出すくらいはやるはず。

 

マルウェアを検知できない(PC又はサーバの)状態」について

・これは出題者が何が聞きたいか(出題意図)を想像する必要がある問題と思う。

・要はJ社のセキュリティ対策であってもどういうPCやサーバの状態なら見逃してしまいうるか?を聞きたいのだろう。

 

J社の構成を振り返ってみる

・そこで、J社が気にしている(対策している)のは何かというと

・2つある。感染拡大防止と情報漏洩防止(14ページ)

  感染拡大防止としては、Rシステム(例えばウイルスバスター)で対策し

  情報漏洩対策としては、Pサービス(通信モニタリング)で対策する

 という構成をとっている

 

L-PC感染後の動きを追う

・その構成の状態で、今回の感染が発生した。

・13:27にL-PCが通信を開始し、それをPサービスが検知したわけだが

PサービスではFWのログは蓄積せず、過去に遡っての分析は行わないと問題文にある(16ページの表1)

・だから、仮にL-PCから他のPCやサーバに感染していたとしても、それらが電源が入っていない等の理由で通信を開始していない限りはPサービスには引っかからない

・しかし、仮にL-PCから他のPCやサーバに感染していたとすれば、Rシステムのログには残る

 

Rシステムでマルウェアを検知するには

・16ページ(7)にあるとおり、Rシステムではマルウェアハッシュ値を管理する

・だから、他のPCまたはサーバのRログをマルウェアMのハッシュ値と比較れば感染しているかどうかを判断できる。

 

以下問題文。

f:id:min117:20191021073457j:plain

f:id:min117:20191021073501j:plain

f:id:min117:20191021073505j:plain

f:id:min117:20191021073511j:plain

f:id:min117:20191021073515j:plain

f:id:min117:20191021073519j:plain

他の人の回答例

yuu11blog.hatenablog.com

iromame-beans.jp

 

Ⅱ はこちら

min117.hatenablog.com