HOME»情報処理安全確保支援士掲示板»R1 秋 午後1 問2の設問1(3)の公式解答
投稿する
以下のような意味で言葉を使用しています。
「閉じた」:すでに確定している。これ以上変化の可能性がない情報。
「開いた」:まだ未知の要素がある。変化する可能性がある情報。
今回の趣旨としてはISACからの閉じた情報を基に現状を調査する
ことが一番の趣旨であると問題文から判断しました。
実際の業務でもまずは情報の速さを重視して、現状確認のため
閉じた情報での調査を優先すべきケースは多々あります。
セキュリティ情報発生時に、関係者はいち早く現状の状態を知りたがる
傾向があるからです。
その次の段階で「開いた」情報として、未知のケースとして
HTTPS・POP・SMTPの調査、併せてそれ以外に可能性として考えられる
プロトコルの調査を手広く行えばよいかと思います。
未知の情報の確認には多くの時間がかかるので、調査の手法としては
このような順番になると考えます。
[0935] R1 秋 午後1 問2の設問1(3)の公式解答
いのさん(No.1)
「グローバルIPアドレスMへのHTTP通信成功のログ」とありますが、「HTTP通信またはHTTPS通信成功のログでないのはなぜなのでしょうか?
マルウェアRが外部への情報持ち出しに際して、HTTPS通信をする可能性は考えられないのでしょうか?
HTTPSを除外して、HTTP通信成功のログ…と答えられる根拠を問題文中から探してみましたが、図2の(う)「C&C通信には、HTTP又はDNSプロトコルを使用する」といった情報くらいしか見当たりませんでした。
これ(図2)については、攻撃グループの”過去の”活動内容を示したものであって、今回、はじめてHTTPS通信が行われたかも…と考える必要はないのでしょうか?
マルウェアRが外部への情報持ち出しに際して、HTTPS通信をする可能性は考えられないのでしょうか?
HTTPSを除外して、HTTP通信成功のログ…と答えられる根拠を問題文中から探してみましたが、図2の(う)「C&C通信には、HTTP又はDNSプロトコルを使用する」といった情報くらいしか見当たりませんでした。
これ(図2)については、攻撃グループの”過去の”活動内容を示したものであって、今回、はじめてHTTPS通信が行われたかも…と考える必要はないのでしょうか?
2022.09.24 00:04
いのさん(No.2)
冒頭に関して言葉足らずだったので補足です。
公式解答は「グローバルIPアドレスMへのHTTP通信成功のログ」となっていますが、
「グローバルIPアドレスMへのHTTP/HTTPS通信成功ログ(29字)」でないのはなぜなのでしょうか?
ということです。
「グローバルIPアドレスMへのHTTP『S』通信成功のログ」と書いたらバツということですよね。
公式解答は「グローバルIPアドレスMへのHTTP通信成功のログ」となっていますが、
「グローバルIPアドレスMへのHTTP/HTTPS通信成功ログ(29字)」でないのはなぜなのでしょうか?
ということです。
「グローバルIPアドレスMへのHTTP『S』通信成功のログ」と書いたらバツということですよね。
2022.09.24 00:08
お初さん(No.3)
HTTP通信と回答すべきです。記載内容を基に正確に回答すれば正解もらえます。
2022.09.24 01:37
pixさん(No.4)
★SC ダイヤモンドマイスター
本問から多少はずれますが、実際に同様のことが現実で発生した場合の
対処を踏まえてお話します。
・HTTPとDNS通信を調査する
実績ある「閉じた」情報なので、調査範囲として明確です。
本問の解答と一致します。
・HTTPS通信も調査する
本スレッドの質問に該当します。
提供された情報を過去のものとみなし、可能性として調査するというのは
実際の業務でもあります。
しかし、これは未知の「開いた」情報です。
HTTPS通信を追加で調査するのであれば、Z社の場合、PCから外部へデータが
でていく可能性のあるPOPとSMTPもすべて調査しないといけません。
もし解答するのであれば、HTTPSを追加しただけでは不完全となります。
POPとSMTPも追加しないと完全な解答にはならないでしょう。
対処を踏まえてお話します。
・HTTPとDNS通信を調査する
実績ある「閉じた」情報なので、調査範囲として明確です。
本問の解答と一致します。
・HTTPS通信も調査する
本スレッドの質問に該当します。
提供された情報を過去のものとみなし、可能性として調査するというのは
実際の業務でもあります。
しかし、これは未知の「開いた」情報です。
HTTPS通信を追加で調査するのであれば、Z社の場合、PCから外部へデータが
でていく可能性のあるPOPとSMTPもすべて調査しないといけません。
もし解答するのであれば、HTTPSを追加しただけでは不完全となります。
POPとSMTPも追加しないと完全な解答にはならないでしょう。
2022.09.24 06:34
いのさん(No.5)
お二方、回答をありがとうございます。
pixさん、「開いた」「閉じた」とは、どういうことでしょうか?
お恥ずかしながら、ご教示頂けますと幸いです。
pixさん、「開いた」「閉じた」とは、どういうことでしょうか?
お恥ずかしながら、ご教示頂けますと幸いです。
2022.09.24 14:41
pixさん(No.6)
★SC ダイヤモンドマイスター
>pixさん、「開いた」「閉じた」とは、どういうことでしょうか?
>お恥ずかしながら、ご教示頂けますと幸いです。
以下のような意味で言葉を使用しています。
「閉じた」:すでに確定している。これ以上変化の可能性がない情報。
「開いた」:まだ未知の要素がある。変化する可能性がある情報。
今回の趣旨としてはISACからの閉じた情報を基に現状を調査する
ことが一番の趣旨であると問題文から判断しました。
実際の業務でもまずは情報の速さを重視して、現状確認のため
閉じた情報での調査を優先すべきケースは多々あります。
セキュリティ情報発生時に、関係者はいち早く現状の状態を知りたがる
傾向があるからです。
その次の段階で「開いた」情報として、未知のケースとして
HTTPS・POP・SMTPの調査、併せてそれ以外に可能性として考えられる
プロトコルの調査を手広く行えばよいかと思います。
未知の情報の確認には多くの時間がかかるので、調査の手法としては
このような順番になると考えます。
2022.09.24 15:04
いのさん(No.7)
>pixさん、お答えいただきありがとうございます。よくわかりました。
2022.09.25 01:14