令和元年のIPA問題に挑む~安全確保支援士 PM1③~
目的
勉強のやり直し(すーぱー忘れてる)
回答例が欲しい人は回れ右です。
問題3 標的型攻撃にたいする対応
ひとまず問題を読む。
また、攻撃うけとる。。。もう感染していることが前提なのね。
問1 (1) 不審なPCの電源を入れておく理由
Pサービスによって、C&Cサーバへの通信が疑われたPC
電源が入っているなら入れっぱなしにする。なぜか。という問題。
さっさと落としてもいいような気がするが。
起動していないと何か不都合があるのだろう。知識というより、
問題文にあるはずだ。読んでみる。
送信元のIPアドレスがPサービスによって通知されるから、
対象端末を特定するためか?
台帳管理しているようだ。DHCPが動的な割り振りが行われるようなことも
問題文中にはなかったので、IPアドレスは違う。
Rシステムのログには、すべてのプロセスの終了までの動作が記録される。とある。
また、Rシステムの吐き出すログから、マルウェアの実行痕跡を追う。ともあるこのあたりか。
つまり
「ネットワークが遮断されるまでの動作を記録したいから」
とか。どうだろう。行けるような気がする。
問1 (2) 不審なPCを切り離さなかった場合の不都合
感染の疑いのあるPCをLANにつなぎっぱなしだと、マルウェアがどうするか。が問題。
C&Cと通信して何がしたいかといえば
・感染拡大(社内の別端末への感染)
・情報の搾取
だろう。問題文の言葉が借りられるなら、使うのがベスト。20字でおさめると
「ほかの危機に感染を拡大しようとする」
「C&Cサーバと通信して秘密情報を外部に送信する」
2つめは20文字に収まらない
「J社の秘密情報を外部に送信する」
とするか。
問題文中の登録セキスペさんも、感染拡大防止、情報漏洩防止が必要。と言っているので、
観点としてはあっているはず。
問3 (1) 対応手順の見直し。
対応方法が足りてない様子。 eを埋めよう25文字。
すこし問題を整理する
不明:L-PCが感染した。
13:17:Rシステムのログから 13:17分にC&Cとの通信を開始
13:27:Pシステムより連絡。C&Cとの通信履歴あり。
13:49:端末をネットワークから遮断
ネットワークの遮断までに20分ほど。 部長の指摘のとおり、感染拡大の動作を
行っていることも十分に考えられる。
部長はFWのログをみろ。といっているので、FWのログに感染拡大
につながるログがないか、確認しろ。ということになる。
FWの設定部分の問題文を見直してみる。
詳細な操作まではログに残っていなさそう。送信元IPアドレスがわかるので、
感染端末からの通信は特定できそうだ。
「L-PCからJ社内LANに向けた許可された通信ログ」
許可された。がポイントなような。20字であれば省くが。25字という指定からしても、
これぐらいの情報は必要と判断。
とおもったけど。ネットワークの構成図を見る限り。FWは外にでないと
通らなさそう。これは回答が違う。
「J社内LANからw1.x1.y1.z1に向けた通信」
※w1.x1.y1.z1はC&Cサーバと疑わしきIPアドレス
こうかな。これでよいはず。
問3 (2) 対応手順の見直し。その2
FWのログをみても分からないときがある。どんなときか。という問題。40字。
感染後に電源が切れていると、外部への通信を行えない。きっとこれが答え。(1)の答えの裏付けにもなるし。
「マルウェアに感染後C&Cサーバへの通信を行う前に電源が切られている場合」