HOME»情報処理安全確保支援士掲示板»R1 秋 午後1 問2の設問1(3)の公式解答

情報処理安全確保支援士掲示板


[0935] R1 秋 午後1 問2の設問1(3)の公式解答

 いのさん(No.1) 
「グローバルIPアドレスMへのHTTP通信成功のログ」とありますが、「HTTP通信またはHTTPS通信成功のログでないのはなぜなのでしょうか?
マルウェアRが外部への情報持ち出しに際して、HTTPS通信をする可能性は考えられないのでしょうか?
HTTPSを除外して、HTTP通信成功のログ…と答えられる根拠を問題文中から探してみましたが、図2の(う)「C&C通信には、HTTP又はDNSプロトコルを使用する」といった情報くらいしか見当たりませんでした。
これ(図2)については、攻撃グループの”過去の”活動内容を示したものであって、今回、はじめてHTTPS通信が行われたかも…と考える必要はないのでしょうか?
2022.09.24 00:04
 いのさん(No.2) 
冒頭に関して言葉足らずだったので補足です。
公式解答は「グローバルIPアドレスMへのHTTP通信成功のログ」となっていますが、
「グローバルIPアドレスMへのHTTP/HTTPS通信成功ログ(29字)」でないのはなぜなのでしょうか?
ということです。
「グローバルIPアドレスMへのHTTP『S』通信成功のログ」と書いたらバツということですよね。
2022.09.24 00:08
お初さん(No.3) 
HTTP通信と回答すべきです。記載内容を基に正確に回答すれば正解もらえます。
2022.09.24 01:37
pixさん(No.4) 
SC・シルバーエキスパート
本問から多少はずれますが、実際に同様のことが現実で発生した場合の
対処を踏まえてお話します。

・HTTPとDNS通信を調査する
実績ある「閉じた」情報なので、調査範囲として明確です。
本問の解答と一致します。

・HTTPS通信も調査する
本スレッドの質問に該当します。
提供された情報を過去のものとみなし、可能性として調査するというのは
実際の業務でもあります。
しかし、これは未知の「開いた」情報です。
HTTPS通信を追加で調査するのであれば、Z社の場合、PCから外部へデータが
でていく可能性のあるPOPとSMTPもすべて調査しないといけません。
もし解答するのであれば、HTTPSを追加しただけでは不完全となります。
POPとSMTPも追加しないと完全な解答にはならないでしょう。
2022.09.24 06:34
 いのさん(No.5) 
お二方、回答をありがとうございます。

pixさん、「開いた」「閉じた」とは、どういうことでしょうか?
お恥ずかしながら、ご教示頂けますと幸いです。
2022.09.24 14:41
pixさん(No.6) 
SC・シルバーエキスパート
>pixさん、「開いた」「閉じた」とは、どういうことでしょうか?
>お恥ずかしながら、ご教示頂けますと幸いです。

以下のような意味で言葉を使用しています。
「閉じた」:すでに確定している。これ以上変化の可能性がない情報。
「開いた」:まだ未知の要素がある。変化する可能性がある情報。

今回の趣旨としてはISACからの閉じた情報を基に現状を調査する
ことが一番の趣旨であると問題文から判断しました。

実際の業務でもまずは情報の速さを重視して、現状確認のため
閉じた情報での調査を優先すべきケースは多々あります。
セキュリティ情報発生時に、関係者はいち早く現状の状態を知りたがる
傾向があるからです。

その次の段階で「開いた」情報として、未知のケースとして
HTTPS・POP・SMTPの調査、併せてそれ以外に可能性として考えられる
プロトコルの調査を手広く行えばよいかと思います。
未知の情報の確認には多くの時間がかかるので、調査の手法としては
このような順番になると考えます。
2022.09.24 15:04
 いのさん(No.7) 
>pixさん、お答えいただきありがとうございます。よくわかりました。
2022.09.25 01:14

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。
※同一人物が作成できるスレッドは24時間に1つまでに制限されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2022 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop