情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

問2を選択しました。問1を選択した人なんてそれほどいないだろうと思います。

問2
設問1
1 a:ア  b:イ  c:イ  d:ウ
2 CRYPTREC


設問2
1 エ
2 アクセス制御機能によってUTM以外からのアクセスが拒否されるから

設問3
1 C&CサーバのIPアドレスを変更し、それをIPリスト内のFQDNに紐づける
2 DNSシンクホール機能では宛先にIPアドレスを指定された場合に遮断できないから
3 イベントログの消去を示すログ
4 待機機能もしくは横展開機能を実行していた場合
5 UTMのIDS機能により、不審な通信をした場合に通知を受け、迅速に初動対応がてきるから

設問4
1 7月14日
2 IPリスト内のIPアドレスのいずれか
3 該当する通信記録に連携端末以外からの通信記録があった場合
4 連携端末を一時的にネットワークから切り離す対応

問2
設問3の4
は
ログα、βが完全に消去されていた場合ですね。

問2設問4の2は
C&Cサーバの

が抜けてるとダメなんじゃないでしょうか

NO2 さん
空欄fへの穴埋めですので、表4内にもある空欄fに合致しないです。
また、図8より、イベントログを消去すると、消去したイベントログが残ることから、ログを完全に消去することはできません。
連携サーバのアクセスログとは別物なのです。

NO3 さん
IPリストが、問題中にて既にC&CサーバのIPアドレス及びFQDNから正引きしたIPアドレスのリストと定義されているので書いていません。書いてあっても良いかと思います。

問2設問3の1
は攻撃者がDNSサーバを用意しているところまで書かないとだめかも。FQDNに紐づくリソースレコードの変更とか

NO4さん
fの穴埋めは設問3の3じゃ?

中途半端な確認ツールの検出の拠り所はログαβです。

NO6 さん
IPアドレスを変更する、そして紐づけるFQDNはマルウェアの保有するリスト内のFQDNである必要があるという情報量からリソースレコードの変更という記述を躊躇し、紐づけるとしました。書いてあってももちろん良いかと思います。
ただ、IPリストはIPアドレスのリストなのでFQDNはないですね。ここは間違えてます。

7月14日わからなかったー

ログを削除するのはマルウェアβの挙動じゃなくないですか？

NO7 さん
そうですね。私が見間違えておりました。すみません。

設問3(5)におけるマルウェアβは表2の仕様より、遠隔操作機能を実行しない限りログβが生成されません。一週間に一回のガチャで遠隔操作機能を引き当てない限り、ログβの検出による検出ができません。待機機能や横展開機能を実行している間は検出できないのです。

NO11 さん

マルウェアとしての挙動ではありません。遠隔操作により攻撃者が実行しているものと思われます。

設問3の4は

C&Cサーバに遠隔操作されていた

的なことを書きました根拠はありません

設問1
問題を良く読むと、複数の役割を兼務する場合もあるから

1 a:ア  b:ア、イ  c:イ  d:ア、イ、ウ

にしました、

NO15 さん
全て選び、という記述が問題にないので、回答は一つである必要があるかと

確認ツールのターゲットはマルウェアβだけではないですよね。

設問1
1 a:ア  b:イ  c:イ  d:ウ
2 CRYPTREC

設問2
1 エ→ウにしちゃいました
2 アクセス制御機能によってUTM以外からのアクセスが拒否されるから

設問3
1 C&CサーバのIPアドレスを変更し、それをIPリスト内のFQDNに紐づける
2 DNSシンクホール機能では宛先にIPアドレスを指定された場合に遮断できないから→マルウェアによるインバウンド通信を防げないから
3 イベントログの消去を示すログ
4 待機機能もしくは横展開機能を実行していた場合
5 UTMのIDS機能により、不審な通信をした場合に通知を受け、迅速に初動対応がてきるから→テレワークによりDCのUTMの処理が逼迫してるから

設問4
1 7月14日→5月10日にしました（最初のログのある7月9日からログ保存期間60日前の日付）
2 IPリスト内のIPアドレスのいずれか
3 該当する通信記録に連携端末以外からの通信記録があった場合
4 連携端末を一時的にネットワークから切り離す対応
→2, 3, 4は忘れちゃいましたが、「到達可能なネット―ワーク内の機器のIPアドレス」と「連携サーバのアクセスログ内に会員名が記載されているから感染特定できる」的なことを書きました

どのみち、ログが消去されたら検出できませんよね?

NO17 さん
問題に「マルウェアβに感染後、マルウェアβがどのような挙動をしていた場合か」と書かれています。
確認ツールはログαとログβの存在で確認してますが、この問題はマルウェアβにフォーカスを合わせています。ちなみに、マルウェアβにマルウェアαの感染は必要ありません。

NO19さん
検出はできないですけど問題文にマルウェアβの挙動と書かれているので合わないと思います

NO19 さん
イベントログは、消去行為がログとして残ってしまうので、ログを消去したという事実は隠蔽できません。
この問題に消去されるログが2つあり、提携サーバから削除されたログファイルはその削除がログに残ることはありませんが(毎日あるはずのログが途中からないことで気づいている)、PCのイベンログから削除された事実は、削除後に削除したというレコードが残るのです。そのレコードを消せば、それを消したログが残るのです。ですからログを完全に削除することはできないのです。

待機機能だけしか書いてない。。。
部分点もらえないだろうか

No.16さん
午後Ⅱにしては簡単すぎるので、ひっかけかと思い複数で記載しちゃいました。
逆にひっかかった。。。

ログも消されるし、メールを7月14日に送る前になにかされてる可能性も含めて7月9日以降かなと思って最後に書き換えてしまった…

NO19 さん
続きです。
ですから、イベントログにログβがあるかないかで判断していたら、削除されたという事実があることを踏まえると漏らします。なのでイベントログの消去を示すログを確認することで対処します。これが設問3の(3)です。
設問3の(4)は、そもそも消去以前にログが記録されていないパターンを挙げるものと思われます。

NO23 さん
部分点がありますから心配なさらないでください。

NO18 さん
設問3(5)について
UTMの処理がひっ迫していることは、連携サーバをDCのDMZに移設すると、攻撃を受けた際に迅速に対応できる理由になっていません
UTMの処理はひっ迫していましたが、それを理由に新NWを構成し、メールはローカルブレイクアウトさせていることから、ひっ迫は解消されたものと思われます。新NWでUTMがひっ迫しているなら、新NWを構築した意味がありません。

設問4(1)について
図8より、7月14日にFさんのPCがマルウェアβに感染しています。それ以前に感染したPCがあればタイムラインに記述されると思います。よって、最初の感染が7月14日でよいと思います。研究部の業務PCから連携サーバへは認証なしでアクセス可能になっている(図4より)こと、感染後のガチャで横展開機能を引き当てるとアクセス可能な共有フォルダに細工された文書ファイルを生成する(表2より)ことから、マルウェアβは一番早くてこの日に連携サーバに細工されたファイルを置くことができると考えました。

設問4(2)について
マルウェアβが会員の環境で到達可能な範囲は会員の内部ネットワーク(図3より)です。そちらへの通信はファイヤウォールで記録されませんし、外部からというのであれば、外部からプライベートIPアドレスを指定した通信ができませんから、宛先が到達可能なネット―ワーク内の機器のIPアドレス(＝会員の内部ネットワーク)であるというのは違うかと思います。

設問4(3)について
連携サーバのアクセスログは調査2のに使う通信記録とは関係ありません。

設問3(4)について

感染後どのような挙動をしていた場合か という問題ですが
「待機機能もしくは横展開機能を実行していた場合」
だと、文意的に遠隔操作機能を実行していても、回答の2つの機能も実行されていたら 正 になってしまうので、
「一度も遠隔操作機能を実行していない場合」か
「待機機能と横展開機能のみを実行している場合」
が正しいと思うのですがどうでしょうか？

待機機能と横展開機能のみを実行している場合

→のみを繰り返している場合  でしょうな

NO29,NO30 さん

表2より、「遠隔操作機能の実行に成功すると、繰り返しの実行を停止する」と書いてあります。
これより、遠隔操作機能を実行すると、それ以降待機機能や横展開機能は実行されません。

つまり、待機機能もしくは横展開機能を実行しているということは、一度も遠隔操作機能を実行していないことと同値です。したがって、「待機機能もしくは横展開機能を実行していた場合」でもよいと思います。「のみ」があっても間違いではないでしょう。

設問3 (1) （FQDNの正引き結果のIPアドレスもフィルタリングすると書かれているので）攻撃者がC&CサーバのIPアドレスやFQDNを変更し、マルウェアα、βを更新した場合、と解答しましたが、「手作業で」と書かれているのでIPアドレスだけでもいいのかな？

No.32 さん

現状の通信はブロックされてしまいますので、攻撃者は変更後の情報を流し込むことができません。すり抜ける方法を考える必要があります。

納得‥
おわた

そうか、だからFQDNは変えずにIPアドレスだけ変えるという答えになるのか。「DNS正引きで得たIPアドレスもリストに入れる」という記述が迷わせるなー

ふと思ったのですが、みんなさん「お名前」を付けているのに、
どうして No.xx さんって書くんでしょうか？
名前を書くのが恥ずかしいのかな？

問1選択です。Web関連の知ってる用語が多かったので飛びつきました。

設問1
1 a→＆lt;  b→＆gt;
2 エ

設問2
1 「http：//」か「https：//」から始まる正しいURL以外の入力は拒否する
2 u-sha.co.jp内にファイルとして設置され、src属性で読込まれたもの
3 スクリプト→ u-sha.co.jp以外のオリジンに設置されたもの
  呼出し方法→ スクリプトファイルをコピーしてdsys.u-sha.co.jpに設置し、そちらを参照させる
設問3
1 d→ウ  e→イ
2 U社と協力会社側で暗号化したファイルをGサービスに置き、受け取り時に復号する

設問4
1 同一利用者IDに対するログイン失敗
2 ボットネットなど、大量のIPアドレスを用いてほぼ同時にログイン試行された場合

設問5
1 g WebブラウザとKサービス間の通信を中継
2 h 利用者による生体認証
  i 個人所有の場合
  j 認証器IDを無効化
  k 認証器IDを無効化
3 ファイル受渡し用PCに保存された生体情報がログインに必要なため、それ以外からのアクセスを防げる

設問5(1)(2)が特に分からなかったです。 別記号で全く同じ文章は無いですよね…

NO36 さん

どの内容に対する返信かすぐにわかるように書いてます。名前で書くより簡単かつわかりやすいです。

この投稿は投稿者により削除されました。(2021.10.10 22:28)

NO37 さん

あー典型的なXSSやーって思って最初はやってたんですけど、満足できる回答を作り上げれる自信がなかったので、早い段階で問2へシフトしました。問2を方が俄然やりやすく、すぐにシフトしてよかったと思いました。

> 受験生さん(No.40)
自分は最初自信満々で解いてて、アレ？と思った時にはもう手遅れでしたわ…  一応なんとか形にできたとは思いますが

問2で共有フォルダにファイルを置いたときのログファイルの名前や保存期間、SSH通信の説明が詳細に記載されていたと思います。
そのあたりは回答するような設問はなかったでしょうか。

設問4(2)
「指摘2」への対応なので、C＆Cサーバとの通信ではないと思いました。
ここは会員FWのインバウンド通信にフォーカスして、「会員の内部ネットワークのIPアドレス」では？
そうであれば、
(3)  連携端末を送信元とする通信記録
とか。

設問4(4)
この設問は、ログ調査の議論なのでインシデント対応を開始してからの話ではないと思いました。
とすると、連携サーバ関連でセキュリティ対策しているという記述は、連携FWで連携サーバへのアクセス制限をしていることくらいかな。
連携サーバに不正な実行ファイルがあると、連携端末に定期的にコピーされてしまうので、連携サーバへの不正なアクセスがあるとマズいので、
そこは守っていると。

■問2
設問1
(1)アイイウ
(2)CRYPTTEC

設問2
(1)エ
(2)Bサービスはアクセス制限機能でUTMのグローバルIPのみ許可される為

設問3
(1)FQDNに対応するIPアドレスの変更
(2)攻撃者が遠隔操作をしてIPアドレスを手動で入力しアクセスする為
(3)イベントログの消去を示すログ
(4)確認ツールでは検出されない待機機能で動作してた場合
(5)UTMのIDS機能で不審な通信を検知した場合はシステム管理者に通知される為

設問4
(1)7月19日
(2)C&Cサーバ
(3)C&Cサーバとの通信ログや攻撃者が遠隔操作を試みたログ
(4)連携端末をネットワークから切り離す対応

午後II
設問3
(3)
3 イベントログの消去を示すログ
→ 3 イベントログの消去を示すイベントログ
この解答ってアウトですかね、文字数的に足りなくて、イベントをつけてしまいました。。。

皆さま受験お疲れさまでした。
午後2
問1 設問5 (2)i みなさん「Kサービス」と解答されているなか「認証サーバ」と書いてしまいました。
→図10 に「Kサービスの認証サーバ」とあったが、解答欄の文字数制限で「認証サーバ」とだけ解答しました。
ゼロ点、減点、正解、のどれになりますかね？？