【過去問解説】令和元年 午後1 情報処理安全確保支援士

目次

問1

設問1 本文中のaに入れる適切な字句を答えよ。

解答

MAIL FROM

解説

メール送信の仕組みとしてエンベロープヘッダとメールヘッダの内容は頻出

設問2

(1)表1中のb~iに入れる適切な内容を”〇”又は”×”のいずれかで答えよ。

解答/解説

b × 外部メールサーバと取引先のDNSサーバ双方の対応が必要
c × 外部DNSサーバと取引先のメールサーバ双方の対応が必要
d × 外部メールサーバと取引先のDNSサーバ双方の対応が必要
e × 外部DNSサーバと取引先のメールサーバ双方の対応が必要
f × 外部メールサーバと取引先のDNSサーバ双方の対応が必要
g 外部DNSサーバと取引先のメールサーバ双方の対応が必要
h × 外部メールサーバと取引先のDNSサーバ双方の対応が必要
i × 外部DNSサーバと取引先のメールサーバ双方の対応が必要

(2)図4中のjに入れる字句を答えよ。

解答/解説

x1.y1.z1.1 問題文にmail.n-sha.co.jpのIPアドレス記述あり

(3)本文中の下線1について、SPF認証が失敗する理由を、SPF認証の仕組みを踏まえて、50文字以内で具体的に述べよ。

解答

送信側のDNSサーバに設定されたIPアドレスとSMTP接続元のIPアドレスが一致しないから

解説

「メールを転送する」という問題文から、SMTP接続元サーバが変わるということを読み取る

設問3 図7中のk,l、表3中のm,nに入れる適切な字句を答えよ。

解答/解説

k mail.x-sha.co.jp. X社メールサーバのホスト名を指定
l x2.y2.z2.1 X社メールサーバのホスト名に対応するIPアドレスを指定
m quarantune 配信エラーの通知メールを送る仕組みなので、表2から情報抜粋
n r 完全修飾ドメインは異なるという観点から、表2から情報抜粋

設問4 攻撃者がどのようにN社の取引先になりすましてN社にメールを送信すると、N社がSPF,DKIM及びDMRCでは防ぐことができなくなるのか。その方法を50文字以内で具体的に述べよ。

解答

N社の取引先と似たメールアドレスから送信ドメイン認証技術を利用してメールを送信する。

解説

まず、aspfの設定を突破するためには「組織ドメインが一致」していればいいので、test-n-sha.co.jpなどサブドメインを成りすましてエンベロープヘッダを設定します。
さらにDKIM認証が必要ですが、この成りすました「test-n-sha.co.jp」のドメインに対してサーバ側で公開鍵を設定すれば突破可能です。

問2

設問1

(1)図3中の下線1について、通信が遮断された理由を20文字以内で述べよ。ここで、図1で示したZ社内の機器及び攻撃グループXのC&Cサーバは正常に稼働していたものとする。

解答

プロキシ認証に失敗したから

解説

PCからインターネットへの通信にプロキシサーバを経由することから導き出す。「プロキシサーバを経由する」ことは頻出問題

(2)図3中のaに入れる適切な機器を表2中の(a)~(g)から一つ選び、記号で答えよ。

解答

b

解説

オフィスセグメントからDNSプロトコルでインターネット通信する場合に経由するのはFWのみであるため

(3)図3中の下線2について、情報持ち出しが成功した可能性の高いとZ社さ判断可能な痕跡は何か。該当する痕跡を二つ挙げ、それぞれ30字以内で述べよ。

解答

グローバルIPアドレスMへのHTTP通信成功ログ
パブリックDNSサービスLへのDNS通信成功ログ

解説

このマルウェアの攻撃手法は下記2つ
・HTTPプロトコル
 Webブラウザに設定されたプロキシサーバのIPアドレスを搾取し利用する。通信先はグローバルIPアドレスM
・DNSプロトコル
 パブリックDNSサーバLを経由する
上記それぞれのログが確認できれば攻撃成功となる

(4)本文中の下線3について、ISACに伝えるべき情報のうち、他社がEDRなどセキュリティ対策ソフトウェア又はセキュリティ機器を用いて感染端末を検出する際に有効であり、共有すべき情報を解答群の中から二つ選び、記号で答えよ。

解答

イ、ウ

解説

マルウェアの特徴として下記2点があげられる
・グローバルIPアドレスMと通信している
・ローカルストレージにファイルを作成している
この内容に沿った回答を選択する

設問2

(1)図4中の下線4について、ソフトウェアのディジタル署名の検証に利用する証明書を解答群の中から選び、記号で答えよ。

解答

解説

コードサイニング証明書を知らずとも、「ソフトウェア」という単語から消去法で回答を導くことも可能
ア:電子メールのセキュリティ
イ:ネットワークのセキュリティ
ウ:ネットワークのセキュリティ 
エ:ソフトウェアのセキュリティ

(2)表3中の下線5について、プロキシ認証情報の搾取に使用できない攻撃手法を解答群の中から選び、記号で答えよ。

解答

解説

観点はbasic認証情報が搾取できるかどうか
WEBブラウザのオートコンプリート情報の搾取
 ⇒搾取可能
キーロガー
 ⇒搾取可能
ゴールデンチケットの搾取
 ⇒ケルベロス認証に関するもののため、関係なし
総当たり攻撃
 ⇒いつか攻撃成功する。攻撃として有効
偽のBASIC認証フォームの表示
 ⇒搾取可能
ネットワーク登頂
 ⇒搾取可能

(3)表3中の下線6について、表1のフィルタリングルールを一つ変更することによって対応した。変更すべきフィルタリングルールを項番で答えよ。また、変更後のフィルタイングルールについて、送信元、宛先、サービス、動作を答えよ。

解答

項番 3
送信元 DMZ
宛先 インターネット
サービス DNS
動作 許可

解説

このような設問の場合、内部セグメントなどからインターネットへの直接通信している部分が回答となるケースが多い。

今回もオフィスセグメントからインターネットへ直接通信していることが問題なので、DMZからのみ許可する

(4)表3中のb~dに入れる適切な字句をそれぞれ10字以内で答えよ。

解答

b 権威DNSサーバ
c パブリックDNSサーバ
d 再帰的クエリ

解説

C&Cのメジャーな攻撃手法ですが、ちょっと難しいです。
一般的なHTTP通信による攻撃ではなく、DNSサーバを悪用した攻撃手法の説明になります。知らなければ回答できないので知っているかどうかがカギになります。

(5)表3中のeに入れる適切な特徴を30字以内で述べよ。

解答

特定のドメインに対する多数のDNSクエリの発生

問3

設問1

(1)図2中の(2)のようにする目的を、25字以内で述べよ。

解答

メモリ上の情報が失われないようにするため

解説

感染後対策の品質問題です。

(2)図2中の(3)について、不審PCを利用者LANから切り離さない場合、マルウェアがどのように活動すると想定されるか。想定される活動のうち、J社にとって望ましくないものを二つ挙げ、それぞれ20字以内で述べよ。

解答

J社情報システムに感染を拡大する
インターネットに情報を送信する

解説

マルウェアの活動に関する問題。頻出

設問2 表3中のa~dに入れる適切なものを解答群の中から選び、記号で答えよ。

解答/解説

a IPアドレスなどの情報を取得するコマンド
b システム情報を取得するコマンド
c タスクリストを取得するコマンド
d ネットワーク接続されている端末を取得するコマンド

設問3

(1)本文中のeに入れる適切な内容を25字以内で具体的に述べよ。

解答

IPアドレスw1.x1.y1.z1との通信履歴

解説

今回のケースでは「C&Cサーバへの通信を検知した」ということがきっかけでマルウェアを検知しています。
すなわち「いつ感染したかわからない」ということです。
そのため、他の端末も感染している可能性があり、今回のマルウェアの挙動であるIPアドレスへの接続をFWから確認します

(2)本文中の下線1について、検知できないのはPC又はサーバがどういう状態にある場合か、40字以内で答えよ。

解答

感染したが、C&Cサーバと通信する前にネットワークから切り離された状態

解説

(1)にも関連する問題です。感染した時点では検知できず、C&Cサーバとの通信が発生していない状態が考えられます。
「ネットワークから切り離された」「電源が切られた」などが回答になります。

(3)本文中の下線2について、マルウェアに感染しているPC又はサーバをRログを使って検知する方法を、30字以内で具体的に述べよ。

解答

RログをマルウェアMのハッシュ値で検索する

解説

Rシステムの説明を見れば記載があるので、そのまま転記するボーナス問題です

 

 

 

 

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA