情報処理安全確保支援士 過去問解説 令和4年度秋季【午後2問2】
syun03間違いございましたらご連絡ください。毎年の感覚だと初版でも8割くらい合っているハズ。
【2022/10/18 追記】
一通り見直しと解説完了。8割くらいは合っていました。更新した部分は取り消し線を引いています。
| 大問 | 内容 |
|---|---|
| 問1 | 脅威情報調査に関して |
| 問2 | インシデントレスポンスチームに関して |
| 更新履歴 | 更新日時 | 内容 |
|---|---|---|
| 初版 | 2022/10/10 2:00 | |
| 第二版 | 2022/10/18 21:00 |
- 1. 問2 インシデントレスポンスチームに関して
- 1.1. 設問1 本文中の下線1,2について,検知するための単純ルールを,それぞれ 30 字以内で具体的に答えよ。
- 1.2. 設問2 [マルウェアBの検知]について答えよ。
- 1.2.1. (1) 表5中のa~eに入れる適切な時刻,ファイル名又は PC 名を答えよ。
- 1.2.2. (2) 本文中の下線3について, PC1~3 の内蔵 SSD 及びファイルサーバから削除すべきファイルは何か。解答群から全て選び,記号で答えよ。
- 1.3. 設問3 本文中の下線4について,作成した検知ルールを 60 字以内で答えよ。
- 1.4. 設問4 [秘密ファイルの流出]について答えよ。
- 1.4.1. (1) 表6中のf,gに入れる適切なログの項目名を,表1から選び答えよ。
- 1.4.2. (2) 表6中のhに入れる適切な字句を答えよ。
- 1.4.3. (3) 表6中のi~jに入れる適切なログの項目名を,表1から選び答えよ。
- 1.4.4. (4) 本文中のk~mに入れる適切な字句を,それぞれ10字以内で答えよ。
- 1.5. 設問5 本文中の下線5について,新たに作成した検知ルールを60 字以内で答えよ。
- 1.6. 設問6 表7中のn, o に入れる適切な字句を, n は 30字以内で,o は 50 字以内でそれぞれ答えよ。
- 2. その他の解説
問2 インシデントレスポンスチームに関して
設問1 本文中の下線1,2について,検知するための単純ルールを,それぞれ 30 字以内で具体的に答えよ。
解答
| 下線1 | |
| 下線2 | 動作種別がファイルのアップロードである |
解説
マルウェアαと同じファイルサイズのファイルが保存される
問題文で問われているマルウェアの動きは下記の赤線の二つ。
すなわち、同じサイズのファイル(同じファイル)に対して
- メールファイルを読み込み
- ファイルをアップロード
これが発生することを検知します。
設問2 [マルウェアBの検知]について答えよ。
(1) 表5中のa~eに入れる適切な時刻,ファイル名又は PC 名を答えよ。
解答
| a | 15:03 |
| b | PC1 |
| c | file1.v |
| d | file2.v |
| e | PC2 |
解説
まずはマルウェアβがどのような挙動をするのかを把握します。
マルウェアβの挙動は表5に整理されています。
マルウェアβについては表5の3~5については裏付けが取れています。まずはここに着目してマルウェアβの挙動を把握します。
ポイントは下記です。
- あるファイルを開き、マクロを実行するとマルウェアβが起動
- ファイル利用履歴からファイルを開く
- マクロ(マルウェアβ)を埋め込みファイルを保存する
このように「ファイルを開く」「ファイルを開く」「ファイルを書き込む」が同タイミングで行われているログがあれば、、マルウェアβの感染が広がっている可能性ありと判断できます。
図4でこの挙動をしている部分を確認すると、感染経路が把握できます。時系列を追っていくとUSBメモリまでたどり着けます。
この情報を整理するとUSBメモリからのファイルコピー⇒PC1感染⇒PC2感染⇒PC3感染という順番であることがわかりますので、この内容で表5を埋めていきます。
(2) 本文中の下線3について, PC1~3 の内蔵 SSD 及びファイルサーバから削除すべきファイルは何か。解答群から全て選び,記号で答えよ。
解答
ア、ウ、エ、オ、キ
解説
(1)が解けていないと厳しいかもしれません。
マルウェアの特徴上、「読込」「読込」「書込」が同じ時刻に行われている場合は感染が広がっていると判断します。(1)での解説内容で答えまでたどり着けると思いますが、わかりやすいように時系列で整理してみました。
こちらが感染が広がった経緯になります。
この図を見ての通り、USBメモリに保存されていたfile1.vに加えて4ファイルに感染が広がったことが分かります。
設問3 本文中の下線4について,作成した検知ルールを 60 字以内で答えよ。
解答
複合ルールとして、ファイル種別Vソフトのファイルで「ファイル読み込み」「ファイル書き込み」が1分以内で行われた場合
解説
設問2(2)の解説で記載した内容とほぼ同じ。
設問4 [秘密ファイルの流出]について答えよ。
(1) 表6中のf,gに入れる適切なログの項目名を,表1から選び答えよ。
解答
| f | 添付ファイルの名称 |
| g | 添付ファイルのサイズ |
解説
f,gはメールサーバのログに関する記述です。メールサーバで取得できるログはどこで記述されていたかというと、表1にあります。
この中で添付ファイルを調査するために使えそうなログは「添付ファイルの名称」「添付ファイルのサイズ」の2点しかありません。
(2) 表6中のhに入れる適切な字句を答えよ。
解答
ファイルサイズ
解説
プロキシサーバで出力されるログも表1に記載されています。ファイル比較に使えるものは「ファイルサイズ」のみです。
ちなみに「転送したデータのサイズ」はファイルを含む通信データのサイズになるので、ファイルサイズより大きくなります。
(3) 表6中のi~jに入れる適切なログの項目名を,表1から選び答えよ。
解答
| i | アップロードされたファイルのサイズ |
| j | アクセス先のURL |
解説
こちらも表1から参照します。説明不要。
(4) 本文中のk~mに入れる適切な字句を,それぞれ10字以内で答えよ。
解答
| k | ファイルの圧縮 or 暗号化 |
| l | ファイル名 |
| m | ファイルサイズ |
解説
暗号化という解答だと、復号された状態でSサービスにアップロードされている説明がつかないので「ファイルの圧縮」です。 ← 想定4の話なので、アップしたのは攻撃者ではなかったですね。(攻撃者に復号できないという意味のコメントでした)
「圧縮」もしくは「暗号化」で問題ないかと思います。
「リネーム」という単語も含めた方がよさそうですが、『ファイルの圧縮とファイル名変更』という日本語で書いた時の文字数が足りないので試験問題という意味で「リネーム」は不要と判断しました。
書いてあっても問題はないと思います。
設問5 本文中の下線5について,新たに作成した検知ルールを60 字以内で答えよ。
解答
装着されたUSB-IDが情報システム部が管理しているリストに含まれない場合
解説
製品Cに登録する検知ルールが問われていますので、製品Cで何が検知できるのかを確認します。これは表3に記載されています。
余談ですが、情報処理安全確保支援士の試験に限らず
表や図の注釈は要注意です
ここにヒントや解答が含まれていることが多々あります。ここにも注釈があります。「USBメモリの識別番号」とふむふむ。
話を戻しまして、新たに検知ルールを追加するということは「変化点が生じたため検知可能になった」と考えられます。ここでの変化点とは、図8に記載されている新たな運用ルールです。3点記載されています。
- USBメモリのUSB-IDは情報システム課で管理する
- 秘密情報に該当するファイルは特定の文字列を付与する
- 秘密ファイルを社外に持ち出す場合は暗号化し台帳に記載する
お気づきかと思いますが、『USBメモリ』について記述されています。無法地帯であったUSBを今後は管理することになったので許可されていないUSBメモリの判断がつくようになりました。これが正解です。
ちなみに他の2つについては、製品Cで検知することはできません。
設問6 表7中のn, o に入れる適切な字句を, n は 30字以内で,o は 50 字以内でそれぞれ答えよ。
解答
| n | 迅速に情報伝達できるように電話受付窓口を設置する |
| o |
解説
nについては一般論的な解答です。
設問4-4-kですが、暗号化してその後に復号してアップロードした場合は辻褄が合うので、暗号化でも問題ないような気がしますがいかがでしょうか。
コメントありがとうございます。
あとから見返すと「暗号化」でも問題なさそうでした。
個人的には暗号化してコピーする意図が問題から感じられなかったので圧縮の方が妥当な気がしてます!もちろんサイズが変わるという意味では暗号化も間違いでないので丸くれるといいですね。(自分はリネームおよび圧縮としました)
コメントありがとうございます。
あとから見返すと「暗号化」でも問題なさそうですね!
設問4-4-kですが「ファイルアーカイブ」という回答はどうでしょうか。
その後の本文に『ファイルNと同じ内容が含まれる』とあり、「『含まれる』ということは『それだけじゃない可能性もある』ということかな」と考えたもので、、
1ファイルの場合も考慮し「圧縮」としております。
1ファイルに対し「アーカイブ」とはあまり言わないと思いますので。
設問1の(1)は「動作種別が読み込みであること」ではないでしょうか。
マルウェアαに書き込むという特徴はありましたでしょうか...?
当方、点数がギリギリでして、細かいことですが気になります...どなたか...お教えいただけますでしょうか...
「読込み」ですね!もっと具体的に言うと「メールフォルダのファイルを読込み」が解答だと思います。
コメントありがとうございます。
ありがとうございます!
設問1について、問題文には単純ルールとありますが、図2に、単純ルールには、一つのイベント内の...条件として複数組み合わせて指定できる
という記載がありますので、同一イベント内(①ではファイル操作、②ではネットワーク操作)では複数の情報を組み合わせることを意識し、次のような回答をしたのですがいかがでしょうか。
①PCのメールフォルダ内にあるメールファイルが読み込まれた。(パス名?、ファイルの種別、操作種別を盛り込みました)
②webサーバへ向けてメールファイルがアップロードされた。(通信の方向、動作種別、ファイルの種別を盛り込みましたが、ファイルの種別は記載なかったですね...)
ご指摘ありがとうございます。「同じサイズのファイルに対する~」の部分を読み違えておりました。(マルウェアαと同じファイルサイズという意味ではなかったですね、、)
コメント頂いた通りかと思いますので、修正させて頂きます!
設問6は、
n 電話応対とIRTの存在周知
o 通報内容が確定次第、暫定的にレベル設定&体制を組む→その後進捗に合わせてレベルを柔軟に変えていく
的なこと書きました。半分くらい点欲しいなぁ
コメントありがとうございます!
oの方は問題なさそうな解答かなと思います。「初動の迅速化」「正確なレベルの設定」が満たせていればOKだと思っております。
設問1の問題文に同じサイズのファイルに対するとありますが、メールのサイズってそれぞれ違うのでは?ファイルGのことかなと思うのですが、どうでしょうか?
私も分かりづらいい問題文だと思いますが
下記2つが「同じファイルサイズに対して」「短期間のうちに」発生することを検知します。
・ファイル操作イベント
・ネットワーク動作のイベント
分かりやすく言い換えると
『ファイル操作とネットワーク関連イベントが同じファイルに対して行われる』ことを検知します。
私も同じ考えでアーカイブとしました
圧縮は思いつきませんでしたが、中身を開いて項目を削ったりするとサイズが変わるので、諸々含めて、編集だとだめですかね。
ファイルの中身の編集という事だと、編集を禁止できるファイルもあるのと(PDFとか)
題意に即していない気はします。
私もoは同じような記載です。暫定的という漢字がかけなかったですが😂
nは社外からも通報を受け付けるようにするにしました。
設問2 c,d 設問6 n,oについてお聞きしたいことがあります。
c,dはファイル名を答える問題でfile1,file2の前に誤って¥マークをつけてしまいました。
nは「通報窓口の要員の増加を行い迅速に対応する」と書きました。
oは「最低限のメンバーが集合した際に概算でレベルの算出を行い、必要な人数の増加、減少調整を行う」と書きました。
自己採点を行なった際はここに書いた全てを0点で換算したのですが、syunさんが採点するとした場合、中間点等を与える可能性はありますでしょうか?
コメント頂きありがとうございます。
申し訳ございませんが、採点や配点については公開されておりませんので当方でもわかりかねます、、
結構細かい点数分布になっているので、きれいな配点ではないのだとは思います。