目的

勉強のやり直し（すーぱー忘れてる）
回答例が欲しい人は回れ右です。

問題３ 標的型攻撃にたいする対応

ひとまず問題を読む。
また、攻撃うけとる。。。もう感染していることが前提なのね。

問1 (1) 不審なPCの電源を入れておく理由

Pサービスによって、C&Cサーバへの通信が疑われたPC
電源が入っているなら入れっぱなしにする。なぜか。という問題。

さっさと落としてもいいような気がするが。
起動していないと何か不都合があるのだろう。知識というより、
問題文にあるはずだ。読んでみる。

送信元のIPアドレスがPサービスによって通知されるから、
対象端末を特定するためか？

台帳管理しているようだ。DHCPが動的な割り振りが行われるようなことも
問題文中にはなかったので、IPアドレスは違う。

Rシステムのログには、すべてのプロセスの終了までの動作が記録される。とある。
また、Rシステムの吐き出すログから、マルウェアの実行痕跡を追う。ともあるこのあたりか。

つまり
「ネットワークが遮断されるまでの動作を記録したいから」
とか。どうだろう。行けるような気がする。

問1 (2) 不審なPCを切り離さなかった場合の不都合

感染の疑いのあるPCをLANにつなぎっぱなしだと、マルウェアがどうするか。が問題。
C&Cと通信して何がしたいかといえば
・感染拡大（社内の別端末への感染）
・情報の搾取
だろう。問題文の言葉が借りられるなら、使うのがベスト。２０字でおさめると
「ほかの危機に感染を拡大しようとする」
「C&Cサーバと通信して秘密情報を外部に送信する」
２つめは２０文字に収まらない
「J社の秘密情報を外部に送信する」
とするか。

問題文中の登録セキスペさんも、感染拡大防止、情報漏洩防止が必要。と言っているので、
観点としてはあっているはず。

問２ マルウェアから実行されたコマンドの穴埋め

を以下の回答群で埋める。

うえから「ウ」「イ」「オ」「ア」
であっていると思う。コマンドはっきり覚えてないけど。

問３ (1) 対応手順の見直し。

対応方法が足りてない様子。 eを埋めよう２５文字。

すこし問題を整理する
不明：L-PCが感染した。
13:17：Rシステムのログから 13:17分にC&Cとの通信を開始
13:27：Pシステムより連絡。C&Cとの通信履歴あり。
13:49：端末をネットワークから遮断
ネットワークの遮断までに20分ほど。 部長の指摘のとおり、感染拡大の動作を
行っていることも十分に考えられる。

部長はFWのログをみろ。といっているので、FWのログに感染拡大
につながるログがないか、確認しろ。ということになる。
FWの設定部分の問題文を見直してみる。

詳細な操作まではログに残っていなさそう。送信元IPアドレスがわかるので、
感染端末からの通信は特定できそうだ。
「L-PCからJ社内LANに向けた許可された通信ログ」
許可された。がポイントなような。２０字であれば省くが。25字という指定からしても、
これぐらいの情報は必要と判断。

とおもったけど。ネットワークの構成図を見る限り。FWは外にでないと
通らなさそう。これは回答が違う。

「J社内LANからw1.x1.y1.z1に向けた通信」
※w1.x1.y1.z1はC&Cサーバと疑わしきIPアドレス
こうかな。これでよいはず。

問３ (2) 対応手順の見直し。その２

FWのログをみても分からないときがある。どんなときか。という問題。40字。
感染後に電源が切れていると、外部への通信を行えない。きっとこれが答え。(1)の答えの裏付けにもなるし。
「マルウェアに感染後C&Cサーバへの通信を行う前に電源が切られている場合」

問３ (3) 対応手順の見直し。その３

上記だと困るから、Rシステムのログでどうにか検知しようね。という問題。30字

Rシステムのログは

こうだ。
マルウェアをハッシュ値で登録しておいて、確認する機能があるらしい。これだろう。

「Rログをマルウェアのハッシュ値で検索し実行の痕跡を確認する」

よし。おわり。