令和元年秋 午後Ⅱ 問1 設問1(3)

金しゃちさん  
(No.1)
こんにちは。いつも大変参考にさせていただいています。
有識者諸兄のご知見をいただければと思い、お願いいたします。

令和元年秋 午後Ⅱ 問1 設問1(3)の解答を導くにあたり、問題文中[フォレンジック調査]最後段の以下文章
「ネットワーク経由でのサーバA上のDBMS-Rへのアクセスは、S社のPCからのアクセス以外はマルウェアXによるアクセス1回だけであった。特に、遠隔コマンド実行機能による不審なコマンドの実行は、マルウェアXによるものだけだった。また、サーバA上のSSHサービスへの接続もS社のPCからのアクセスだけであった。」
を受けてのIPA回答例には
「(略)マルウェアX以外による遠隔コマンド実行及びSSHサービスへの接続がなかったから。」
となっており、これを反転すると
「(略)遠隔コマンド実行及びSSHサービスへの接続はマルウェアXによるものだけであったから。」
になるかと思います。

「マルウェアX以外による遠隔コマンド実行」
は問題文から自明ですが、
「マルウェアX以外による(略)SSHサービスへの接続がなかったから。」
については、シンプルに問題文中の
「サーバA上のSSHサービスへの接続もS社のPCからのアクセスだけであった。」
と整合しないように読めます。

これは、
「マルウェアXは遠隔コマンドを実行したが、それは当然にSSHサービスへの接続が前提である。」(マルウェアX以外のアクセスはS社PCだけであったため、殊更に明示)
ということなのでしょうか。

初歩的又は国語の問題かもしれず、お恥ずかしい限りですが、ご教示いただけますと幸いです。
2023.08.20 09:18
pixさん 
SC プラチナマイスター
(No.2)
この投稿は投稿者により削除されました。(2023.08.20 11:07)
2023.08.20 11:07
pixさん 
SC プラチナマイスター
(No.3)
>「(略)マルウェアX以外による遠隔コマンド実行及びSSHサービスへの
>接続がなかったから。」
>となっており、これを反転すると
>「(略)遠隔コマンド実行及びSSHサービスへの接続はマルウェアXに
>よるものだけであったから。」
>になるかと思います。
ここの文章解釈がIPAが意図したものと違うと思われます。
『及び』という言葉のかかり方が、
誤:
「(略)マルウェアX以外による
【遠隔コマンド実行及びSSHサービスへの接続がなかったから。】」
正:
「(略)【マルウェアX以外による遠隔コマンド実行】
及び
【SSHサービスへの接続がなかったから。】」
と思われます。

これは、P7「サーバA上のSSHサービスへの接続もS社のPCからのアクセスだけで
あった。」という文言から逆算し、不整合の起こらない解釈をしたものです。
少々恣意的ですが、これ以外では文章の整合性がとれないので、これが正であると
考えられます。

次にマルウェアXが外部に情報漏えいする方法を検討してみます。
P5 図2 4.「暗号資産の採掘用プログラムの機能(1)採掘演算結果
だけを外部の特定のサーバに送信する機能」
とあります。この文章から、マルウェアXが自分から外部に情報漏えいする
機能はないと読み取れます。

そのため、サーバAから外部へ情報漏えいするには、
1.遠隔操作コマンドでサーバA上の情報を外部にアップロードする
  その際にはftp,scp,rsyncなどのコマンドが投入され、実行されると思われる。
2.SSHで直接Aサーバにログインし、アップロードコマンドを実行する
  その際にはftp,scp,rsyncなどのコマンドが実行されると思われる。
の2パターンが想定されます。

「1.遠隔操作コマンド」は、1度だけマルウェアXが侵入する時のみアクセスが
あっただけなので、外部へftp,scp,rsyncなどが行われた事実はないと判断した。
「2.SSHで直接Aサーバにログイン」も、外部からログインされた形跡はないので、
外部へftp,scp,rsyncなどが行われた事実はないと判断した。
といった流れを経て、情報漏えいはなかったと結論付けたと読み取れます。
2023.08.20 11:08
金しゃちさん  
(No.4)
pixさん
早速の、非常に明快なご解説、ありがとうございます。

pixさんのご解説を拝見し、問題文中で「SSHサービスへの接続」と「遠隔コマンド実行」を書き分けたのは、作問者の意図があってのことなのだろうと思いました。私がIPA回答例と問題文を突合してなかなか理解できなかった要因もそこにあるように思います。

そこで
「サーバA上のSSHサービスへの接続もS社のPCからのアクセスだけであった。」は

「SSHサービスへの接続はS社のPCからのみで、マルウェアXを含む外部からの接続はなかった。ただし、マルウェアXによる遠隔コマンドの実行は(サーバA侵入時の1回のみ)あった。」と整理し、

IPA回答例を少し変更するとして、
「(略)遠隔コマンド実行はマルウェアXのみ、かつSSHサービスへの接続はS社PCのみで、マルウェアX及びその他外部からのアクセスはなかったから。」
であれば、個人的にはしっくりきたかな、と思います。
(これでは文字数がかさみますし、もう少し簡潔化できないかとは思いますが…)

当回は受験していませんでしたが、この点の解釈が私の場合は得点を左右するポイントになったと思います。
大変ご丁寧なご回答、誠にありがとうございました。
2023.08.20 11:58

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop