【登録セキスペ】令和元年秋午後1問3の解説(情報処理安全確保支援士試験)
このNoteでは「セキスペ令和元年秋午後1問3」の解説をします。
マルウェア感染時の対応がテーマ。
問題文から作る解答で6割は切らないです。一方でコマンドを知らないと高得点が狙えなくなる問題でした。
セキスペでは、Linuxの権限やコマンドは必須です(今回のコマンドはWindowsでも使えます)。これを機会に学んでみてくださいね。>セキスペに出たLinux基礎のNote
私はSCPMIIを97点で独学合格し、IT専門学校で授業しています。このNoteには、授業で教えていること以上の情報を詰め込みました。
一所懸命に作ったので、信頼して下さったら嬉しいです。
それでは始めましょう!
設問1(1) | 感染時の初動3点
模範解答は「メモリ上の情報が失われないようにするため」
必ず正解してください。
メモリは揮発性なので、電源を切るとデータ消失してしまいます。プログラムはメモリに読み込まれて実行されるので、現場保存します。
ただし感染拡大はして欲しくないので、ネットワークからは切断します。PC内で感染拡大してしまうのは仕方ありません。
マルウェア感染時の初動は3点。
電源を切らない:メモリ保持
ネットワークから切る:感染拡大の防止
上司か担当部署に連絡:対応や指示
設問1(2)
J社情報システムに感染を拡大する
インターネットに情報を送信する
「二つ挙げ」なので、問題文に載っている可能性が高いです。図2(3)まで2頁もあったので、必ず載っています。大抵は同じ場所に揃っているかな。
14頁。「外部のC&Cサーバと通信を開始」「ほかの機器に感染を拡大」という段階で検知するのが今回のテーマ。
設問文の「J社にとって望ましくないもの」に少しだけ書き換えて、模範解答になります。
私の解答は以下。
「外部のC&Cサーバに情報漏えいされる」18文字
「社内の他の機器に感染拡大する」14文字
C&Cサーバと具体的に書きましたが、まぁ大丈夫でしょう。
もしノーヒント問題だと、ものすごく簡単で一般論的な解答のはず。なかなかノーヒント問題で「2つ挙げよ」は出せません。難易度跳ね上がりますから(出たことはあります)。>令和04年春午後1問3の設問2(1)解説Note
設問2a, b, c, d | 知っておくコマンド
a:ウ
ipconfig:IPアドレス, MACアドレス, ネットワークアダプタの詳細を表示するb:イ
systeminfo:OSのバージョンや修正プログラムの適用状況を確認するc:オ
tasklist:実行中のプロセス一覧を表示するd:ア
net view:接続できる端末一覧を表示する
aの「ipconfig」、cの「tasklist」は正解してください。他も、知らなくても何とか正解できます。
aのipconfigは必須コマンド。自分のIPアドレス・サブネットマスクなどなどネットワークの設定を確認できます。ウの「IPアドレス」「MACアドレス」などで判断。
cのtasklistは知らなくても、task(タスク)とlist(リスト)から推測。オの「実行中のプロセス」「一覧」で判断。
残りは、ア, イ, エから選んでいきます。
bのsysteminfoも、system(システム)とinfo(information, 情報)だからと選択肢を眺めて。「OSのバージョン」かなと。少なくともエ「暗号化」は外しますし、アで迷っても次で解決。
dのnet view。net(network、ネットワーク)の何かをview(見せる)してくれるんだろうけど、と選択肢を眺めて。エ「暗号化」は外しますし、イの「OSのバージョン」はネットというよりはホスト。アの「(ネットにある)接続可能な端末の一覧」と考えれば納得。
関連して、セキスペ・ネスペ必須のコマンドを少し紹介。
ipconfig:ネットワークアダプタの設定値を見る
MACアドレス、IPアドレスやサブネットマスクなど
ただしく設定されているか確認に使います
traceroute (tracert)
指定したIPアドレスまで通信が届くかテスト
ネットワークの導通・経路確認に使います
netstat
TCP/IPの状態一覧を表示する
どことどんな通信をしてるか確認につかいます
以上3つは、よく出る基礎なのでセキスペ必須です。
下図はpsコマンドによるタスクと、netstatコマンドによる通信状態。>セキスペ令和5年春午後1問2の解説Note
設問3(1)e
模範解答は「IPアドレスw1. x1. y1. z1との通信履歴」
FWのログなので、表1を見ると「日時, FWの動作, 送信元IPアドレス~, データサイズ」と書かれています。通信の記録ですね。
空欄e前の「13:17:15」は、PサービスがC&Cサーバへの通信を検知した時刻(表2)。
よってE部長は、Pサービスが検知する前にも、C&Cサーバへの通信があったかを念のため確認したいんですね。
PサービスにいつからC&CサーバのIPアドレスが登録されていたかも分かりませんから。たまたま登録した直後に検知しただけかもですからね。
よって模範解答「IPアドレスw1. x1. y1. z1との通信履歴」。設問文に「具体的に述べよ」なので「C&Cサーバへの通信記録」では、×でしょう。
設問3(2)
模範解答は「感染したが、C&Cサーバと通信する前にネットワークから切り離された状態」
難しいです。
下線①に「FWのログを使った確認では~検知できない」ので、インターネット(のC&C・DNSサーバ)へ通信していない状態と解釈します。これで模範解答の半分。
あとは「PC又はサーバの状態」。
私は、模範解答には考え至れませんでした。
私は「PCは電源が入っていないかな」「サーバはメンテナンスかな」などと考えました。
E部長「他にも感染したPC又はサーバがある場合を想定する必要があるのでは」なので、感染したか未だ分かっていないので、ネットワークから切断した状態にするわけないです。
作業経緯の表2にも、L-PC以外についてネットワーク切断した、記述はありません。せめて表2に全社のネットワークを切断したなど、記述があるべきと考えます。
まだ「感染したが、C&Cサーバと通信する前に電源が切られた」ならPCは分かります。しかしサーバに当てはまるかは微妙。
模範解答は理解しますが、解答の筋道がないので納得できません。私は「電源が落ちている状態」とだけ答えて、次の問題に行きます。
設問3(3)
模範解答は「RログをマルウェアMのハッシュ値で検索する」
Rログを使うので、表1のRシステムを見て、何ができるかを探します。
エージェントはSyslogにてログを送付する(Rログ)
管理サーバに登録されたマルウェアハッシュ値、エージェントは実行を禁止する
Rログをマルウェアハッシュ値で検索して、実行したか確認できる
問われているのは、マルウェアMに感染していたかの検知なので、3番目。Rログを検索して実行したか確認する機能。
まとめ
お疲れ様でした!
問題文に忠実に解くスキルが身に着いているか確認できる問題でした。コマンドが4問も出て大失点した方は、良い機会なのでLinuxの基礎も学んでくださいね。>セキスペに出たLinux基礎のNote
ぜひ「情報セキュリティスペシャリスト」合格してくださいね。でわでわ。
\私の3ヶ月の学習履歴/
いいなと思ったら応援しよう!
