HOME»情報処理安全確保支援士掲示板»令和元年秋季 午後Ⅱ 問1 設問1(1)について
投稿する
大変恐縮ですが、この解答で点を付けられると思われる箇所がありません。
ポート6379/tcpをブロックするのは、ポート6379/tcpから侵入してくる他の
マルウェアXの阻止です。
逆に言えば6379/tcpから侵入するのはマルウェアXしかないです。
S社開発チームならば、普通にこのサーバにログインしてマルウェアXを
駆除すればよいです。
そういう意味であれば、やってできないことはないと思われます。
しかし、わざわざ不便な遠隔コマンド実行機能を使わなくとも
FWルールから判断するにsshでリモートログインして、マルウェアXを
削除すればよいかと思われます。
前の回答を一部訂正いたします。
6379/tcpから侵入してくる可能性があるのはマルウェアXだけではなく
ほかのマルウェアの可能性もあります。
ここではゼロディ攻撃の発展系で、即日にマルウェアXが攻撃に利用した
脆弱性を突く別のマルウェアが作られる可能性があります。
そうなると、マルウェアXの暗号資産の発掘処理が阻害されてしまいます。
そういった点を踏まえると、マルウェアXが一番警戒すべきは
同じ脆弱性を利用したマルウェアXとその亜種であると想定するのが
一番自然と考えられます。
逆に人為的な駆除についてですが、このマルウェアXの性質からして
マルウェアXは非常に発見されにくい、かつ発見されたとしても、
そのサーバで動作するマルウェアXが駆除されるだけなので、
懸念事項としては小さいと想定されます。
»[1491] 午後問練習の時の環境(PCか手書きか)文字の書き方 投稿数:9
»[1490] 平成29年秋午後Ⅱ問1設問1(3) 投稿数:2
[1493] 令和元年秋季 午後Ⅱ 問1 設問1(1)について
合格したい男さん(No.1)
令和元年秋季 午後Ⅱ 問1 設問1(1)の模範解答に対して、
自分の解答が「正規の利用者であるS社開発チームから遠隔コマンド実行機能で不正にダウンロードしたスクリプトファイル等を削除され、マルウェアXを駆除されることを想定した」でしたが、これはIPAからバツにされちゃうでしょうか?
自分の解答が「正規の利用者であるS社開発チームから遠隔コマンド実行機能で不正にダウンロードしたスクリプトファイル等を削除され、マルウェアXを駆除されることを想定した」でしたが、これはIPAからバツにされちゃうでしょうか?
2024.04.05 22:47
pixさん(No.2)
★SC ダイヤモンドマイスター
>自分の解答が「正規の利用者であるS社開発チームから遠隔コマンド実行機能で
>不正にダウンロードしたスクリプトファイル等を削除され、マルウェアXを
>駆除されることを想定した」でしたが、これはIPAからバツにされちゃう
>でしょうか?
大変恐縮ですが、この解答で点を付けられると思われる箇所がありません。
ポート6379/tcpをブロックするのは、ポート6379/tcpから侵入してくる他の
マルウェアXの阻止です。
逆に言えば6379/tcpから侵入するのはマルウェアXしかないです。
S社開発チームならば、普通にこのサーバにログインしてマルウェアXを
駆除すればよいです。
2024.04.05 23:14
合格したい男さん(No.3)
回答ありがとうございます。
ですが、問題文には「開発チームは、S社開発用LANのPCから、DBMS-Rのデータベースを参照・更新したり、ネットワーク経由で外部からDBMS-Rを通してOSコマンドを実行する機能(以下、遠隔コマンド実行機能という)を利用したりするために、急きょ、サーバAのポート6379/tcpを開放した。」と記載されているため、
S社開発用LANのPCからサーバAのポート6379/tcpにアクセスして、遠隔コマンド実行機能を利用することで、マルウェアXを駆除することはできないでしょうか?
ですが、問題文には「開発チームは、S社開発用LANのPCから、DBMS-Rのデータベースを参照・更新したり、ネットワーク経由で外部からDBMS-Rを通してOSコマンドを実行する機能(以下、遠隔コマンド実行機能という)を利用したりするために、急きょ、サーバAのポート6379/tcpを開放した。」と記載されているため、
S社開発用LANのPCからサーバAのポート6379/tcpにアクセスして、遠隔コマンド実行機能を利用することで、マルウェアXを駆除することはできないでしょうか?
2024.04.05 23:30
pixさん(No.4)
★SC ダイヤモンドマイスター
>S社開発用LANのPCからサーバAのポート6379/tcpにアクセスして、
>遠隔コマンド実行機能を利用することで、マルウェアXを駆除する
>ことはできないでしょうか?
そういう意味であれば、やってできないことはないと思われます。
しかし、わざわざ不便な遠隔コマンド実行機能を使わなくとも
FWルールから判断するにsshでリモートログインして、マルウェアXを
削除すればよいかと思われます。
前の回答を一部訂正いたします。
6379/tcpから侵入してくる可能性があるのはマルウェアXだけではなく
ほかのマルウェアの可能性もあります。
ここではゼロディ攻撃の発展系で、即日にマルウェアXが攻撃に利用した
脆弱性を突く別のマルウェアが作られる可能性があります。
そうなると、マルウェアXの暗号資産の発掘処理が阻害されてしまいます。
そういった点を踏まえると、マルウェアXが一番警戒すべきは
同じ脆弱性を利用したマルウェアXとその亜種であると想定するのが
一番自然と考えられます。
逆に人為的な駆除についてですが、このマルウェアXの性質からして
マルウェアXは非常に発見されにくい、かつ発見されたとしても、
そのサーバで動作するマルウェアXが駆除されるだけなので、
懸念事項としては小さいと想定されます。
2024.04.05 23:45
合格したい男さん(No.5)
返信が遅れて申し訳ありません。
納得がいきました、ありがとうございます。
納得がいきました、ありがとうございます。
2024.04.07 19:59
その他のスレッド
»[1492] 令和4年秋 午後2 問2 投稿数:5»[1491] 午後問練習の時の環境(PCか手書きか)文字の書き方 投稿数:9
»[1490] 平成29年秋午後Ⅱ問1設問1(3) 投稿数:2