HOME»情報処理安全確保支援士掲示板»令和3年春午後1問3設問4(2)ARPコマンド
投稿する

令和3年春午後1問3設問4(2)ARPコマンド [1030]

 akiさん(No.1) 
回答例を見ると回答文中に「arpコマンドの実行を検知」とありますが、自分の「pingコマンドの送信を検知」としていました。図5の(1)から(4)の中でArpコマンドの実行に該当する項目がないと思うのですが「arpコマンドの実行を検知」という回答はあっているのでしょうか。またpingコマンドの送信を検知では不正解なのでしょうか。わかる方アドバイスいただけると嬉しいです。
2023.03.06 08:49
pixさん(No.2) 
SC ダイヤモンドマイスター
今回回答するにあたり、この問題を再検討しました。
再検討した結果、この問題の状況を正確に理解するのは、かなり難しいと
思うようになりました。
以下私の解釈ですので、ご参考にしてください。

当初は、arpコマンドを利用して同一セグメントのPCのMACアドレスを
収集すると思っていました。しかし、arpコマンドを利用しなくても
pingコマンドでもarpリクエストを発行し、MACアドレスを収集することが
できる点に違和感を感じました。
質問者様も同様の疑問を感じたと思われます。

そこで図5の内容を改めて読解した結果、以下の結論に至りました。
(1)下線③の文章「自信が動作するPCのARPテーブルから下記(2)及び(4)の
活動に必要な情報を読み取って保持しておく。」という文章から推測するに
マルウェアはARPテーブルの読み取り・保持するために"arp -a"コマンドを利用する
特徴があり、これを検知しようというのが意図と考えました。
APIからarpテーブルを読み取るマルウェアの場合は対応できませんが、マクロタイプの
マルウェアは"arp -a"コマンドを利用する可能性が高いと考えられます。
したがって、夜間に"arp -a"コマンドの実行を検出すればマルウェアの活動を検知
できると推測いたします。
2023.03.06 10:11
GinSanaさん(No.3) 
SC ブロンズマイスター
A端末が感染しているとして、図5(3)で仮にB端末に感染したとして、その段階でB端末は
図5(1)ARPテーブル(IPアドレスとMACアドレスの対応表)の情報を読み取る
つまりwindowsでいえば
arp -a
をしているのでarpを検知するべきでありpingではダメということになる。
2023.03.06 10:19
GinSanaさん(No.4) 
SC ブロンズマイスター
ただ、linuxの場合だと純粋に/proc/net/arpを見ればわかってしまうので、arpは発する必要がないのであてにならないですね。
2023.03.06 10:23
pixさん(No.5) 
SC ダイヤモンドマイスター
>GinSanaさん
私もそれは検討しました。
この点は業務用PCの大半はWindowsであると割り切って考えました。
2023.03.06 10:32
GinSanaさん(No.6) 
SC ブロンズマイスター
golangをマルウェアに使うとして、arpライブラリ(github.com/irai/arp)のARPテーブルのぞきでパケット送出する形跡がないから、
この手で来られると検出できんでしょうね。ただ、windowsのテストが雑だとか書いているから、もしかしたら実際にはwindowsはoscommand依存で検知できるかもしれない。
2023.03.06 10:39
 akiさん(No.7) 
ありがとうございました。
不審な振る舞いについてARP -aを思い起こすことができれば、図5の(1)を検出するという意味で「arpコマンド」が導出できた気がします。私の場合、図5の(2)にあるpingコマンドに先に注目してしまって、それを表1のエージェントの概要欄に記載のあったキーワードの「指定したコマンドが実行された場合」と結びつけて、回答してしまいました。
  回答例の「Arpコマンド」の部分を「Pingコマンド」とした場合(私の回答の場合)、図5の(1)では引っ掛けられないけど、(2)では引っ掛けられるので、正解のような気もしました。夜間にPingコマンドが打たれるのも、不審といってよいと思ったからです。
  ただ、模範解答としてはより上流工程で検出し隔離した方が望ましいということなのかなと理解しております。
2023.03.06 17:23
pixさん(No.8) 
SC ダイヤモンドマイスター
>ただ、模範解答としてはより上流工程で検出し隔離した方が望ましいということ
>なのかなと理解しております。
この点に関しては、以下のような解釈になると考えられます。

P17「マルウェアRに限らない、WoLを悪用するマルウェアの対策について」
とあります。これは書いてある通り、現行のマルウェアRだけではなく、将来発生する
可能性のあるWoLを悪用するマルウェアすべてに対応できる必要があります。

これらのマルウェアの特徴は、停止しているPCに対してWoLを利用して、PCの電源を
ONにすることです。
その際にWoLのマジックパケットを投げますが、この時に宛先としてMACアドレスが
利用されます。
もちろんMACアドレスは"arp -a"コマンドで入手したものです。

マルウェアRは"arp -a"コマンドのあとにpingを利用するのが特徴です。
しかし、全てのWoLを悪用するマルウェアがpingを利用するとはかぎりません。
その点で、pingコマンドの実行を検出するというのはarpコマンドの実行の
検出に比べて、「WoLを悪用するマルウェアの対策」として直接性を欠いていると
考えられます。
以上のような理由で、WoLを悪用するマルウェア全てで共通に使用されると思われる
"arp -a"コマンドの実行を検出することが解答になると考えられます。

IPAの問題文は「マルウェアRに限らない、WoLを悪用するマルウェアの対策について」の
ように、書かれた内容をその通り解釈したうえでの解答を求めることが傾向として強い
です。
2023.03.06 17:53
 akiさん(No.9) 
>全てのWoLを悪用するマルウェアがpingを利用するとはかぎりません

納得感のある解説ありがとうございました。
2023.03.06 18:32
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop