情報処理安全確保支援士 令和5年度春期【過去問解説午後1問2】
syun032023年4月16日実施の情報処理安全確保支援士解答速報
毎年のことながら7~8割の正解率かと思います。間違いや不明点ございましたらコメントください。⇒全体の見直し完了!
| 更新履歴 | 更新日時 | 内容 |
|---|---|---|
| 初版 | 2023/4/16 22:00 | |
解答まとめ
| 設問1 | |
| (1) | パッシブ |
| 設問2 | |
| (1) | コミュニティ |
| (2) | バインドモード 2-3のコマンドにより3-3が実行されたが1-3で拒否されているため |
| (3) | コネクトモード 2-4のコマンドで1-4で許可され3-4が接続完了しているため |
| (4) | 1365 |
| 設問3 | |
| (1) | 文字列を自由に入力することができるため |
| (2) | ファイルが変更されている可能性があるため |
| (3) | 受付サーバ |
他の解答・解説
情報処理安全確保支援士 令和5年度春期【過去問解説午後1問1】
情報処理安全確保支援士 令和5年度春期【過去問解説午後1問3】
情報処理安全確保支援士 令和5年度春期【過去問解説午後2問1】
情報処理安全確保支援士 令和5年度春期【過去問解説午後2問2】
- 1. 情報処理安全確保支援士問2 セキュリティインシデントに関する記述
- 1.1. 設問1 本文中のaに入れる適切な字句を答えよ。
- 1.2. 設問2 [受付サーバのプロセスとネットワーク接続の調査]について答えよ。
- 1.2.1. (1)本文中のbに入れる適切な字句を,10字以内で答えよ。
- 1.2.2. (2)本文中のcに入れる適切な字句を,“バインド”又は"コネクト”から選び答えよ。 また, 下線 1について, M さんがそのように判断した理由を, 表1中~表3中の項番を各表から一つずつ示した上で, 40字以内で答えよ。
- 1.2.3. (3)本文中のdに入れる適切な字句を, “バインド” 又は “コネクト”から選び答えよ。 また, 下線2について, M さんがそのように判断した理由を, 表1中~表3中の項番を各表から一つずつ示した上で, 40字以内で答えよ。
- 1.2.4. (4)本文中のeに入れる適切な数を, 表2中から選び答えよ。
- 1.3. 設問3 [受付サーバの設定変更の調査]について答えよ。
- 1.3.1. (1)本文中の下線3について, A レコードではこのような攻撃ができないが, TXTレコードではできる。TXTレコードではできる理由を, DNS プロトコルの仕様を踏まえて30字以内で答えよ。
- 1.3.2. (2)本文中の下線4について, 適切ではない理由を30字以内で答えよ。
- 1.3.3. (3)本文中のfに入れる適切なサーバ名を,10字以内で答えよ。
- 2. その他の解説
情報処理安全確保支援士
問2 セキュリティインシデントに関する記述
設問1 本文中のaに入れる適切な字句を答えよ。
解答
パッシブ
解説
DBサーバから製造管理サーバへの通信しかログに存在していないため、アクティブモードではなくパッシブモードであると推測
設問2 [受付サーバのプロセスとネットワーク接続の調査]について答えよ。
(1)本文中のbに入れる適切な字句を,10字以内で答えよ。
解答
コミュニティ
解説
SNMP (Simple Network Management Protocol) の設定を行うことにより、SNMP 管理ソフトウェアに対してネットワーク管理情報のモニタと変更を行うことができるようになります。
SNMPv1 および SNMPv2c では、コミュニティと呼ばれるグループの名前を相手に通知し、同じコミュニティに属するホスト間でのみ通信します。
SNMPv1 および SNMPv2c で利用する読み出し専用と送信トラップ用のコミュニティ名は、共に初期値が "public" となっています。
これが攻撃者に狙われ利用されたという事です。
(2)本文中のcに入れる適切な字句を,“バインド”又は"コネクト”から選び答えよ。 また, 下線 1について, M さんがそのように判断した理由を, 表1中~表3中の項番を各表から一つずつ示した上で, 40字以内で答えよ。
解答
バインドモード
| 表1 | 1-3 |
| 表2 | 2-3 |
| 表3 | 3-3 |
インターネットから0.0.0.0:8080への接続をLISTENしているため(解答の仕方が違ったので更新)
2-3のコマンドにより3-3が実行されたが1-3で拒否されているため
解説
「コマンドライン引数にbindと書いてるから」という解答はもちろんNGです。
表2の項番2-3でsrvがプロセスを開始し、PIDは1293です。このPIDを表3で確認すると項番3-3が該当します。
この実行結果は「インターネットからの接続をLISTENしている」ため、バインドモードと判断できます。
(3)本文中のdに入れる適切な字句を, “バインド” 又は “コネクト”から選び答えよ。 また, 下線2について, M さんがそのように判断した理由を, 表1中~表3中の項番を各表から一つずつ示した上で, 40字以内で答えよ。
解答
コネクトモード
| 表1 | 1-4 |
| 表2 | 2-4 |
| 表3 | 3-4 |
PID 1293について接続が確立していることが確認できるため(解答の仕方が違ったので更新)
2-4のコマンドで1-4で許可され3-4が接続完了しているため
解説
解き方は(2)と同じ
(4)本文中のeに入れる適切な数を, 表2中から選び答えよ。
解答
1365
解説
接続が確立した後のプロセスはこれのみ。
表2を見ても項番2-5でポートスキャンと読み取れるIPアドレスのレンジが記述されています。
設問3 [受付サーバの設定変更の調査]について答えよ。
(1)本文中の下線3について, A レコードではこのような攻撃ができないが, TXTレコードではできる。TXTレコードではできる理由を, DNS プロトコルの仕様を踏まえて30字以内で答えよ。
解答
文字列を自由に入力することができるため
解説
DNSトンネリングという攻撃手法
DNSの仕組みを利用してサイバー攻撃や情報漏洩に悪用する攻撃です。httpに比べてfirewallなどで制限されていない場合も多く、日常の中で大量にDNSの通信を行うのでコマンドを紛れ込ませることが可能です。
(2)本文中の下線4について, 適切ではない理由を30字以内で答えよ。
解答
ファイルが変更されている可能性があるため
解説
マルウェアがダウンロードしてきた時点のファイルと、Mさんがダウンロードしようとしているタイミングで同じパスに対して同じファイルが保存されている保証はありません。
(3)本文中のfに入れる適切なサーバ名を,10字以内で答えよ。
解答
受付サーバ
解説
マルウェアが稼働していた受付サーバはネットワークから切り離したのみでそのまま稼働しています。サーバをシャットダウンしてしまうと、マルウェアに関する証拠が消えてしまう可能性もあります。
解答速報の作成ありがとうございます。
設問2(2)(3)は解答用紙に表ごとの項番を書く欄がありませんでしたので、40字に含めて記述する問いと考えられます。
そういうことでしたか!ありがとうございます。
書き方難しいなと思っておりました。
私も、設問2(2)(3)は解答用紙に表ごとの項番1-1などを書かないといけないのではと思います。
はい、そのようです!ほかの方からもご指摘頂きましたのでこれから書き直します。
解答速報の作成ありがとうございます。
午後Ⅰ 問2、設問2(1)のbは、文章で、四角(テキストボックスb)の横に”名”が記述されているので、正確な解答は、
コミュニティ
だと思います。
※細かくて申し訳ありません。
確かにですね!ありがとうございます。
修正いたしました。