【過去問解説】情報処理安全確保支援士 令和6年度秋季【午後 問1】
syun03- 1. 問1 インシデントレスポンスについて
- 1.1. 設問1 〔暫定対策と追加調査の実施〕 について答えよ。
- 1.1.1. (1) 本文中及び図3中のaに入れる適切なホスト名を答えよ。
- 1.1.2. (2) 本文中のbに入れる適切なホスト名を答えよ。
- 1.1.3. (3) 本文中及び図3中のに入れる適切なアカウント名を,表3の注記1に従って答えよ。
- 1.1.4. (4) 図3 中のdに入れる適切な対策を10字以内で答えよ。
- 1.1.5. (5) 図3中の下線1について, 対策の内容を, 具体的に答えよ。
- 1.1.6. (6) 図3中の下線2について, 調査の内容を, 具体的に答えよ。
- 1.1.7. (7) 本文中の下線3について, 調査の内容を, 具体的に答えよ。
- 1.1.8. (8) 本文中の下線4について, 検出する仕組みを, 二つ答えよ。
- 1.2. 設問2 表6中のe,fに入れる適切な字句を答えよ。
問1 インシデントレスポンスについて
設問1 〔暫定対策と追加調査の実施〕 について答えよ。
(1) 本文中及び図3中のaに入れる適切なホスト名を答えよ。
解答
PC-C
解説
本文中のaの文脈は「PC-A及び [a] 上のファイルがインターネットに送信されている恐れがある」ことを説明しています。
マルウェア感染したのはPC-Aなのになぜそれ以外のホストから送信されている可能性があるのかというと、PC-Aが別ホストを経由して通信している可能性があるからです。
この観点で表3を見ていくとRDP接続が1つだけ成功している行があります。これが 12/04 23:32:51 のPC-Cへの接続です。
これによりインターネット上に送信されている可能性があるファイルはPC-A及びPC-Cのファイルであることが推測できます。
(2) 本文中のbに入れる適切なホスト名を答えよ。
解答
filesv
解説
考え方は(1)と同じです。ログ上でPC-Aが参照している先は 12/04 22:42:06 \\filesvへの参照と記載があるようにファイルサーバ上のファイルにもアクセスされています。
表3では12/05 22:34:05から https://〇〇〇.comへのアクセスが大量に行われており、さらに表4を見ると12/05 23:05:40 に大量のネットワーク送受信がありますので
この時刻以前にアクセスされたファイルはインターネット上に送信された可能性ありと判断します。
(3) 本文中及び図3中のに入れる適切なアカウント名を,表3の注記1に従って答えよ。
解答
ad01\user019
解説
ログ上に登場しているアカウントは .\administrator か ad01\user019 なのでどちらかで迷うと思います。
どちら判断するために、まずアクセスされたファイルサーバの記述を確認します。ファイルサーバ利用時にはドメインサーバでの認証が必要だということがわかります。
ドメインサーバで管理されているのは ad01というL社の社内ドメインですので、ファイルサーバにアクセスするにはad01アカウントで認証する必要があることがわかります。
よって解答は ad01\user019 になります。
(4) 図3 中のdに入れる適切な対策を10字以内で答えよ。
解答
無効化
解説
表1の「ドメインサーバ」部分にアカウントの無効化などの説明があるかと思いきや何もありません。
他にも関連する文章がないので一般論で解答します。
たまにこういう問題もあり混乱します。
(5) 図3中の下線1について, 対策の内容を, 具体的に答えよ。
解答
管理者拒否リストにhttps://△△△.comとhttps://□□□.comを追加する
解説
プロキシサーバで設定できるのは管理者拒否リストによる対象URLへのアクセス拒否です。
問題はどのURLを拒否にするかです。ここでは表3や表5ではなく、図4のマルウェアの動作から拒否する対象を選定します。
図4に登場するURLは下記3つです。
- https://△△△.com
- https://○○○.com
- https://□□□.com
これをすべて拒否リストに追加すれば対策になります。IPAの解答ではhttps://○○○.comも含まれておりますが、これはすでにベンダー拒否リストに登録されているので拒否リストに追加しなくても問題ないと個人的には思います。
また、図4に記載されている内容から表3の「https://○○search.com」についてはマルウェアとは関係ない通信であることがわかりますので
こちらは拒否リストには追加しません。
(6) 図3中の下線2について, 調査の内容を, 具体的に答えよ。
解答
解説
(5)の解説と解き方は同じです。
ポイントは図4をしっかり読むことです。
(7) 本文中の下線3について, 調査の内容を, 具体的に答えよ。
解答
タスク名がinstallであるタスクが登録されているホストを調査する
解説
問題文にある『今後、活動する可能性があるL社内ホストを見逃した恐れ』というのは、簡単に言うとまだ活動していないマルウェアを見落としている可能性があるということです。
どこに見落とした可能性があるかは下線②の調査内容を改めて確認します。下線②については、プロキシサーバのログで対象のURLにアクセスがあったものを調査しております。
ここで対象から漏れるものは、まだプロキシサーバと通信していないがマルウェアに感染している端末です。この場合は下線②の調査では上がってきません。
見落とした可能性のあるホストを探すには、ほかにマルウェアの痕跡を探す必要があります。
改めて図4を確認すると、「i.ps1の動作」として『タスク名:install のタスクを登録する』と記載があります。
このタスクが登録さているホストをマルウェアに感染した可能性ありと判断します。「既に同じタスク名のタスクが登録されている場合は何もしない」という挙動なので過検知は起こりえますが、漏れるよりはいいという判断をします。
(8) 本文中の下線4について, 検出する仕組みを, 二つ答えよ。
解答
| マルウェア対策ソフトが停止したホストを検出する |
| RDP接続を繰り返すホストを検出する |
解説
問題文の文脈は「追加調査3には時間がかかるために、これ以外の方法でマルウェアの活動を検知する」ことを目的としています。
でもマルウェアに感染しているかどうかを調査する方法は(6)(7)で問われていたのでは?と思うのですがそこがポイントです。
この問は厳密にマルウェアに感染しているかどうか分からないが、通常とは異なる怪しい振る舞いを検出することが求められています。
何が怪しい振る舞いと判断するかはスキルと経験が求められます。該当するのは下記2つ。
(c)マルウェア対策ソフトを停止する
(h)pingコマンドを使ってホストを探索し、RDP接続を試みる
設問2 表6中のe,fに入れる適切な字句を答えよ。
解答
| RDP接続できるホストを制限する |
| DLP等のシステムを導入する |
解説
RDP接続制限は問題文から想定はできるかと思います。
DLPは知らないと解答は難しいですね。出てこなければきっぱりあきらめて次に行くタイプの設問です。
