【2023年春期】情報処理安全確保支援士 午後I試験【問2】
【出題趣旨】
Webアプリケーションプログラムのライブラリの脆弱性に起因する不正アクセスが依然として多い。
本問では、ライブラリの脆弱性に起因するセキュリティインシデントを題材として、不正アクセスの調査を行う上で必要となるログを分析する能力や攻撃の痕跡を調査する能力を問う。
問1
FTP(TCP:20,21)にはアクティブモードとパッシブモードがあります。
◆アクティブモード
クライアントの接続要求(Port:21)に対し、
サーバ側からクライアントに接続(Port:20)を行います。
接続要求をクライアント、接続をサーバ側が行う点がポイントです。
◆パッシブモード
クライアントの接続要求(Port:21)に対し、
サーバは応答でポート番号の指定だけを返し、
クライアントはそのポートでFTP接続を行います。
接続要求も接続もクライアント側が行う点がポイントです。
本問では接続要求と接続のどちらの通信もクライアント側から行われているため、正解は a = "パッシブ" です。
問2(1)
bの穴埋め問題です。
SNMPではコミュニティと呼ばれるネットワーク範囲でSNMPマネージャとエージェントの管理を行います。"public"や"private"などが例としてよく用いられます。
正解は b = "コミュニティ" です。
問2(2)
次はcの穴埋め問題です。
表2を確認すると、bindモードでポート8080への通信を行なっていることが分かります。
続いて、表1を確認するとその処理は拒否されていることが分かります。
よって、正解は c = "バインド" です。
失敗したと判断した理由の模範解答は「2-3によって起動した3-3のポートへの通信が1-3で拒否されているから」となります。
Linuxのコマンドも普通に出てくるようになりました。
psは実行しているプロセスを参照するコマンドです。
netstatはネットワークの接続状況や状態を参照するコマンドです。
各ポートに対して、状態(State)の確認を行うことができる。
CLOSED/ESTABLISHED/LISTENING/SYN_SENT etc
dig(domain information groper )はDNSやドメインの情報を参照するコマンドです。
また、ポート8080は代替HTTPポートとして使われることが多いです。
プロキシサーバなどが80番ポート以外でHTTP接続の応答を待つケースなどで利用されています。81や10080も同様の用途で使われています。
問2(3)
次はdの穴埋め問題です。cと同じ流れで確認すると確かに後続の処理で接続が成功しています。
よって、正解は d = "コネクト" です。
成功したと判断した理由の模範解答は「2-4によって開始された3-4への通信が1-4で許可されているから」となります。
問2(4)
ポートスキャンを実行しているプロセスのPIDは表2より、"1365"です。
よって、e = "1365" が正解です。
問3(1)
AレコードとTXTレコードの実際のフォーマットを確認してみましょう。
Aレコードの例
以下のように、ホスト名と関連するIPアドレスのみを記載します。
note-sample.jp. IN A 192.168.0.1TXTレコードの例
以下のように、TXT宣言後、関連するホスト名についての任意の文字列を入力できます。任意の文字列だけではなく、テキスト内で宣言することでSPFレコードやDKIMレコードなどを記述することができます。
note-sample.jp. IN TXT "test"
note.com. IN TXT “v=spf1 +ip4:192.168.0.1 -all” ←←←SPFレコードの例模範解答は「TXTレコードには任意の文字列を設定できるから」となります。
問3(2)
図2で表示されているURLやその先にあるダウンロードするファイルが更新されている可能性があります。
よって、模範解答は「(受付サーバで)稼働しているファイルと内容が異なる可能性があるから」となります。更新されているでも部分点は取得できるはずです。
問3(3)
ネットワークから切断している受付サーバから調査対象のファイルを取得します。
よって、f = "受付サーバ" が正解となります。