HOME»情報処理安全確保支援士掲示板»令和午後1問3(2)について

情報処理安全確保支援士掲示板

掲示板検索:

令和午後1問3(2)について[0455]

ゆてさん(No.1)

こんにちは。
国語力に自信が無く、過去2回落ちており
過去の記述問題を見直しています。
表題の問題の模範回答なのですが、

(感染したが、C&Cサーバと通信する前にネットワークから切り離された状態)

とありますが、この唯一の回答を読み取る根拠となる文章はどこでしょうか?
自分の回答は、

(マルウェアMが他のグローバルIPを利用して通信している状態)

としました。
回答とはかけ離れているように感じますが、間違っていないようにも思います。
何かヒントや考えなどいただけるとありがたいです。

よろしくお願いします。

2020.02.16 15:28
助け人さん(No.2)

マルウェアに感染していることを検知するには、マルウェアからC&CサーバへのパケットがFWを通過したかどうかの確認では不十分だということです。

FWのログに該当パケットがあれば、感染していると断定できますが、なければ、断定できません。

では、「FWのログに該当パケットがない」とはどういうことかと言うと、「C&Cサーバと通信することができない」ということです。したがって、解答例のようになります。

ヒントを探すと、最初のページに、
「マルウェアが、外部のC&Cサーバと通信を開始しようとする段階(中略)で検知し対処できれば、情報漏えいの被害を軽減できる」
とあり、図2に、
「Pサービスからの通知を基に(中略)LANから切り離す」
とあります。

なお、解答例の「感染したが、」は、感染していることが前提の設問ですから、省略してもいいと思います。

2020.02.18 10:25
ゆてさん(No.3)

大変助かります。

感染が断定できない場合に、何を考慮すべきか?
ということなのですね。

自分の回答では文脈を考えず前提自体を否定しているようでした。

ありがとうございます。
参考にさせていただきます。

2020.02.18 15:42
助け人さん(No.4)

主旨がうまく伝わらなったようなので、追記します。

感染しても、FWにログが書かれることもあれば、書かれないこともあります。

前者は、C&Cサーバへの通信ができた場合であり、後者は、その通信が未然に防止された場合です。後者となるのは、PCまたはサーバがどういう状態かが問われています。

最近の時事に例えると、感染しても、その後の活動が防止されるのは、すばやく隔離された場合です。

2020.02.18 16:43
ゆてさん(No.5)

レスポンス遅くて申し訳ありません。

また詳細いただきありがとうございます。
ポンコツですみません。

問題で問われている対象は何か?

というそもそもが意識できていなかったと思います。
ありがとうございます!

2020.02.27 18:32

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop