令和5年秋期試験   午後試験【問4】についての投稿を受け付けるスレッドです。

自由に決めるセキュリティ対策ですが例えば何があるんでしょうか。
・戻りの通信を装ってw社内NWに侵入する。
・中間社攻撃などを利用する

はありなんですかね。

対策に迷惑メールブロックを使えないかと思い、取引先を装った不正メールのやりとり、返信にてIDパスワードを記載してしまうリスクを書いてみました

標的型攻撃の訓練をやっていないところに着目して、取引先を装ったものも含んだ標的型攻撃と
標的型攻撃訓練実施、そのレビューについて書いてみました

むっず...

解答欄作り間違えたのかと思った。

自由に決めるやつはランサムウェアがメールで送られてきて、メールを開いたら感染、IDとパスワードを入力しすれば複合鍵を教えるみたいな感じにしました

面白い問題でしたね。自分はemotetから文書ファイルにマクロ埋め込みにしました

項番記載する解答欄が広すぎて不安でしかないです。

項番の数字だけで良いんですよね？解答欄大きくて困惑しました

Sサービスへのフィッシングメール攻撃とほぼ同じで、配送管理SaaSを対象に書いてみました

この投稿は投稿者により削除されました。(2023.10.08 15:22)

何で解答欄あんなでかいんだよ、、、メンタル攻撃すんなや

見解のところはICカード盗まれて事業所入られて、SサービスのPW盗まれるの、リバースブルートフォースで不正ログインにした

けど、これって物理セキュリティ起因な気がするから＼(^o^)／

皆さん、お疲れ様でした。
愚問ですが、項番記載する解答は多分部分点ないですよね…
ごそっと減点されかねないエグい設問を、こんな新発想の大問で何個も入れてこられたら敵わんな、と…

問題の選択ミスかも
問2は自由度高くて、とりあえずW社本社事務所に不正侵入して、PCに貼ってある便箋を覗く感じで書きましたが、全然分からん…

Z社サーバへの機密性に関する攻撃が思いつかなくて、Sサービスに対するCSRFの話を書いたけど、だめなんだろうなぁ

項番記載は「関連するもの」を選ぶってなってて関連なんて広い意味で言ったらめちゃくちゃ当てはまるじゃん…ってなってしまった(泣)
脆弱性として挙げられるものだったらまだ良いのに

設問2は、いさなさんと同じく、訓練が不十分な標的型攻撃に着目しました。ただ前後で、フィッシングやソーシャルエンジ二アリングによるID・PW窃取が述べられていたため、プロセス・手口の説明は悩みましたね…

百貨店の特別連絡がメールという餌には食いつきました。該当一括抽出は表の上で書かれてたけど、表を添付して送る。メールヘッダーを百貨店に書き換えてenvelope fromは攻撃者に。
対策で特別連絡は電話するか、SPFの導入。。この問いに時間取りすぎたーー。へたこいたー

現時点で問1・3の書き込みがない辺り、大方の皆さん問2・4を狙ったんですかね…

そうか
普通にメールでIDPASS聞き出す攻撃で良いのか…
配送用スマホにマルウェア仕込むのはOKですかね？

問2はあなたの知見で、とは書いてますが、G百貨店からの特別連絡はメールで来ること、W社が標的型メール訓練をやってないことに着目して、G百貨店を装った標的型メールで偽サイトに誘導するのを書かせたいのかなと思いました。
あくまでもサイバー攻撃ですからね。

項番のところない場合はなしと書くみたいな記載があったと思うんですけど、なしって書いた箇所ありましたか？
色々書いちゃって不安です。

ランサムウェアを意図した出題なのかな？と思いました。本文中に出てくるので

送金元ipに制限ないって書いてってあったから総当たりでIDとパス特定するって書いたけどそもそもログイン失敗回数の指定ないのとパスワード複雑って書いてあったから感触ゼロ

この投稿は投稿者により削除されました。(2023.10.08 15:40)

序文と回答の第一印象だけで2,4を選び他はある程度解けたもののリスクの自由回答で詰まりに詰まり……既に他の大問を解く時間的余裕はなかったので諦めて書きましたが部分点すら貰える自信が皆無です……

標的型ランサムにしときました。

パターンマッチが光って見えたので、ヒューリスティックで攻めたっぴ。。。。

あなたの知見、のところは「メールを盗聴される。」であとはそれに関連した解答にしたけどダメなのかなあ…

DNSサーバに脆弱性があるって、在庫管理サーバのIPアドレス書き換えられることにしてみましたがだめですかね。。。

自由に書けると思いきや、行為・事象の分類からサイバー攻撃となる内容を書かないとならない。また、必ず対策しなければならないような内容を書かないとならない部分が結構難しいところ。結局あ～かまですべてが適切でないとすべて×になるという博打問題でしたね。

1,3でよく知らない単語が出た時点で強制的にこれを選ぶことになるのですが
問４は運用側が選択する想定でつくられたのでしょうかね

リプレイ攻撃にしましたー

課長にUSB送りつけました

Sサービスに不正なスクリプトを埋め込んでパスワードやIDを奪取したり、重複ログインで内容を覗き見するといった感じの内容書いたけどダメなのかなぁ

なんかランサムウェアぽいですねえ…ランサムウェア＝暗号化≠機密性ってなってしまって二重脅迫が抜け落ちてました…

スニッフィング攻撃で、httpのアクセスを盗聴。プロキシでhttpsのみに制限とかにしちゃいました。

カメラをジャックされて机上の付箋を盗み見られるって書きました…

机上に付箋置いとくやつ、もしかして罠か…？

メールで既知のマルウェア亜種に感染

pcの操作や通信内容をC&Cサーバに送信

みたいな流れで書きましたが、部分点くれますかね

この投稿は投稿者により削除されました。(2023.10.08 16:05)

W社内に侵入して通信内容を盗聴としましたw

もう分かんなすぎて配送用スマートフォンが攻撃者が用意したアクセスポイントに接続、盗聴でID.PW窃取って書いたけど絶対違う。。

課長からid pass送るメールを盗聴する勢はいませんか、、
月1だったので狙い目かと思いました

私ポリモーフィックのマルウェアをメールで送りました～??

問2は、今冷静になるといろいろとおかしなこと書いたなと気づいてしまう、

http通信を中間者攻撃でのっとり、なんやかんやでid盗むとか解答してしまった。

前提の二重の脅迫、標的型訓練未実施、セキュリティソフトはパターンマッチングとのことだったので、今回はメールでウイルス送付、
対応としては標的型訓練実施か、パターンマッチングではAGAV系のソフト入れるとかが求められてる回答そうですね…
全然思いつかなかったです…

この投稿は投稿者により削除されました。(2023.10.08 16:31)

配送管理SaaSは暗号化されてるとは書かれてなかったから、そこを中間者攻撃で傍受して間接的にZ情報を抜き取るニキはおらんのか
対策として配送管理SaaSでHSTSするように書いたけどあかんかな

二重の脅迫は、奪った情報の暴露
ID PWを摂取してZ情報を得る方法が書いてあれば、どれも正解ではないかと。

あと関連するって難しすぎやろ
全部（省略）にすんのやめてけれ
どういうのが関連っていうのかヒントほしかったンゴ

こちらにも晒上げ
設問１
・10，11，12，13
・大
・C
・W社従業員にID・パスワードをメモ紙などに書き残さないよう教育する
設問２
・パターンファイルに一致しないマルウェアやウイルスが添付されたメールを開いて感染する
・２，５
・大
・低
・C
・ビヘイビア型を検知できるマルウェア対策ソフト、UTMなどで不審な通信を検知、メール添付ファイルの取り扱いに関する教育
・５，１０
・３

好きにいじってください

設問3 bは3,4,6にしました。
サーバー経由の感染もあるとしたらと思い、fwの項番4と、攻撃者サイトへの送信を考えて項番6も追加してます。

自由記入は、標的型攻撃メールを記載しましたが、解答しやすかったです。

関連するって言うと
項番1番はログインに悪用される場合は書くことになると思うんですが、直接的には関係ないという意見もあって、かなり受け取り方で変わりそうです。
問4の採点工数は設問2もあるしシャレにならないのでは

この投稿は投稿者により削除されました。(2023.10.08 16:59)

設問1ラストは、貸与アカウントのログインをw社グローバルipに制限と書きましたが、他の項番の対策でも使えるはずなのに記載ないのが微妙です。

G百貨店において、ログインを許可するアクセスもとIPリストを設定し、貸与アカウントとW社のグローバルIPの組み合わせを追加する

>ずんださん
・自分もIPアドレス制限書きました。同じく他の項番にないのが引っかかりましたが、検討結果(抜粋）と記載されていたので大丈夫かな・・・と思って

IPアドレス制限と運用的対策はどっちでもいいのかな？と思ってIPアドレス制限を書きました

自由度高すぎるけど、問4自体が合格率調整問題だったりするんか・・・？

貸与アカウントへの総当たり攻撃と書いてしまったけど、ID窃取の方法を書いてなかった、、、

機密性の観点だからランサムで暗号化はだめだなぁきっと。

キーロガーってマルウェア対策ソフトで引っかかりますよね？

普通にランサムにしました。社員がセキュリティ会社を装った電話を受けてしまい、sサービスランサム。定期的に訓練しろや的な。

標的型攻撃メールで正解でしょうねー。
ふるまい検知型のソフト導入とか訓練やるとかプロキシのhttp切るとかですかねー。

クロスサイトリクエストフォージェリーで
SサービスのZ情報を掲示板サイトに書き込ませるとか書きました。
だめですか

ブルートフォース攻撃でIDとパスワードを脳筋戦法で、対策はアカウントのロックをしたりワンタイムパスワードを利用するようにしたりと書きました。自身はないです

色々盛り上がりますが、結局ITECとTACの解答速報待ちですかね…
とはいえ、ここまで罪作りな問題で揉めさせるからには、得点調整を期待したいところです…

IPA「今回は午後２廃止で採点が減る分新傾向問題＋採点調整問題をつくったろ。考えさせる設問で文字数制限もなしだ！完答問題の回答迷わせれば別解たくさん用意できて難化も易化も簡単！問１～３はあんまり出してない言葉を出してちょっととっつきにくくしてやろ」

設問１
ア：10, 11, 12, 13
イ：大
ウ：C
エ：Sサービスにログインを許可するアクセス元IPアドレスは、W社などの業務にSサービスの利用が必要不可欠な会社のIPアドレスのみに制限する。

設問２
あ：配送管理用PCにマルウェアが感染する。
い：IDとPWの入力時やZ情報の閲覧をしているときに、マルウェアの機能でその画面をスクリーンショットする。その後、攻撃者にスクリーンショットを送信し、攻撃者のPCに保存される。
う：2、3、4、6、10
え：大
お：低
か：C
き：IDとPWの入力時やZ情報の閲覧をしているときは、スクリーンショットができないよう制限をする。

設問3
a：10
b：2、3、4、6

項番をえらぶ問題が怖いです。

思惑さん
その通りでしょうね
設問1,3の選択問題はいかようにも部分点調整できますし、大問4は「調整用」でしょう


あと設問1、IDパスをメモらせないは×なきがします
パスワードは覚えられないものにするって書いてあるので…
メモする媒体を指定し、その管理(持ちだしチェック、保管場所、廃棄方法)を規定する
とかじゃないですかね…

項番を選ぶ問題めちゃめちゃ多様性ありそう。
不正にID/PASSを入手する結果をまねくものに項番１を入れるべきかそうでないかとか
議論すべきところがものすごいたくさんありそう。

採点基準相当複雑になるのでは

細かいですけど
「あ」は「攻撃者が行う行動」なので、攻撃者が主語になるようにしないと減点されそうですね

大・中・小
高・中・低とか選ばせる問題は×という概念があるのか？
影響度はある程度他を基準にできるとして
高・中・低はその人がリスクアセスメントしたときに思うことによりそうなもんだが。

リスクアセスメントに正解・不正解を設けること自体がナンセンス？

設問2について、W社が利用するDNSサーバにDNSキャッシュポイズニング攻撃がされ配送管理課員が偽のSサービスに誘導されるってのは変でしょうか？

設問1のエは、パスワード付箋に書くとかセキュリティの初歩の初歩すぎてさすがにここ書いとかないといけないと思い、それ系の改善咲書いたけど、IPアドレス制限なのかなぁ。

誤字りました改善策

ナムさんと同じ考えだったけど、引っかけ問題にハマってしまったのかなぁ(´д｀|||)

エについてですが、アカウント使い回さないように、必要な数だけw社にsサービスのアカウントを貸与する、みたいな感じで書きました
操作ログ取れるらしいので、不正を行ったら犯人が分かるようにすることで、故意の持ち出し、社外ログインを防げるかな、と。

私も設問2は他に思いつかず、DNSキャッシュポイズニングで偽サイトに誘導、にしました。
ただ、それだと情報セキュリティの状況が"なし"になってしまうのと、構成上にDNSが登場してないのが気になります。。。

選択問題、どこまで選ぶかの基準がないのがあまりにもひどいと思いました。

関連するってかかれるとどうしても多く選ばざる負えない。。。

項番を選ぶ問題、選んだものを基にリスクの大きさと"頻度"を評価するようなので、私は「それが起きるかもしれない状況を作る要因」だけではなく「それを起きづらくする要因」も含めて書きました

まあつまりは本当に少しでも関連するもの全てを描きました

自由記述が多く描かけるのはいいとして解答欄を二行用意するいみが本当にわからない。
今までこういう解答欄にしたことあるんだろうか

もしかして、二行用意したんだから多めに書くという意図を読み取ってくれよな？じゃないですよね

あなたの知見のところ、水飲み場攻撃にしました。URLフィルタリングルールが甘い気がしたので。。
でも違いそう～?

この投稿は投稿者により削除されました。(2023.10.08 20:21)

あなたの知見とは書いてあるけど、“状況設定に沿う範囲で”と書いてあるので、完全なフリー記述ではないんですね。
G百貨店からの特別な連絡はメール、標的型攻撃の訓練はやってない、という記載から、G百貨店になりすました標的型攻撃のメールかと思ったんですが、すでにリスク番号2-1に書いてあるフィッシングがソレのことか？とも読める気がします。
厳密にはフィッシング（不特定多数を相手）と標的型攻撃（対象を絞る）は違うんですけどね。

かんがえれば考えるほど書けることに迷う内容でした。
逆に大・低の選択肢はほぼ１００％選べそうで、点数を与えるような問題ではないような気がしました。１点ずつ？

ですが、単純に計算すると問題数の関係から３点はありそうな気がします
こんなので３点もらえるなら片方で出来が良ければ本問を選べば自動的に合格になってしまうようなきがします。

あなたの知見  の問題は  スマホが乗っ取られて個人情報漏洩  にしました。
ちょっと飛躍したかも。

この投稿は投稿者により削除されました。(2023.10.08 21:40)

1のエは、「ノートなどにパスワードを書いた場合鍵付きの場所に保管する」と書きました。
会社でやってることでいいか…と思って書きました。

設問2は迷惑メールからのランサム感染、在庫管理サーバの暗号化による限定的な業務影響、対策はサーバファイルのバックアップ取得、迷惑メールのブロックを有効にする  にしました。そうか…標的型攻撃訓練のことを失念してた…

設問3.a 誤ってメールを送信
10と12にしました。
12を入れている人少なくて心配。

設問2は偽サイト誘導、PC乗っ取りが出てるのであとは通信かなと…

設問１
ア：8,10,  11, 13
イ：大
ウ：C
エ：IDPWを書いた紙を一目につく場所に置いたり持ち出したりしないように徹底する。

設問２
あ：メールを盗聴する
い：配送管理課員宛のメールを盗聴しIDPWを窃取される。そのIDPWが利用され・・・
う：12
え：大
お：低
か：C
き：IDPWをメール以外の方法で周知する

設問3
a：5.10.12
b：2.3.4.5.6.9.10

これまでの投稿で項番一致した解答になった２人すらでていないんじゃ・・・
・関連するものってのがざっくり過ぎて正答不明
・そもそも設問内で分割したらそれぞれ意味のない問題になるので、まとめて点数を与える形式？
・あなたの知見をもとに（ただし問題文の意図をくみ取れ）

今回は各社全然違う答えがでてきそうですね

今回の問題ひとことであらわすなら
「変数が多すぎる」

以下のように記述しましたが、パワープレイすぎますかね・・・

設問２
あ：悪意のある第三者が配送員のスマートフォン操作を除き見て、配送管理SaaSのIDとPWを入手する。
い：配送管理SaaSのIDとPWを入手され、配送管理SaaSにログインされる。配送指示からZ情報の一部を入手される。
う：（覚えてない）
え：中
お：低
か：D
き：配送管理SaaSに機器認証を行うシステムを追加する。

はつじゅけんさん

ソーシャルエンジニアリングの欄と明確に分割されているので
ソーシャルエンジニアリングに該当するような内容がどう扱われるかはわかりません。

初受験でしたが「情報セキュリティの状況」の定義が曖昧過ぎて、
悩みました。ここは(部分点もない気がするので)全滅かな・・・。

設問１
ア：10、13（11、12も必要かも）
イ：大
ウ：C
エ：ノートは施錠付きの場所で保管、クリアデスクの徹底周知

設問２
あ：ランサムウェアによる業務停止
い：パターンマッチングで検知できないウイルスやマクロを使ったウイルスにより感染。
    訓練不足による初動対応の遅れにより、業務停止が発生。
う：2、3、4、5、9、10
え：大
お：低
か：C
き：１．ビヘイビア型／アノマリ型のFWの導入
    ２．データの定期的バックアップ取得
    ３．システムの冗長化、および日常的訓練の実施

設問3
a：5、10（12も必要かも）
b：2、3、4（6も必要かも）

設問２は
・偽のメールSaaSを作った上で、偽サイトに誘導するフィッシングメール（PW変更を促す）を配送管理課員宛に送付する。
・偽メールSaaSでIDと現PWと新PWを入力させて、そのIDと現PWでメールSaaSにログインしてメールボックス内の課長から課員にあてたSサービスのIDとPWを傍受。
・そのSサービスIDとPWでZ情報をダウンロード。

てゆうのにしました。

「機密性に限定してリスクアセスメント」と記載されているのでランサムウェアの場合は二重の脅迫による暴露の旨が記載されていないと厳しい気がします。

論文系高度なら、機密性以外のこと書いた時点で問答無用でD食らってその後読まれすらしないでしょうね
さすがにこの試験だと部分点くれるとは思いますが

クロスサイトリクエストフォージェリーで
SサービスのZ情報を掲示板サイト等に書き込ませるとか書きました。

根本的にSサービス内でのリクエストを勝手に作るのであって他の掲示板に
自動的に書き込みってのは不可能なんでしょうか。。

CHATGPTは一応理論的にありえるとはいうのですが。
どうも理解が足りておらずありえるのか・ありえないのかがわからず。

問2の(あ)はサイバー攻撃と指定されていても、ICカード不正に入手して事務所に入り込んで、逆ブルートフォースでSサービスに侵入する回答にしちゃった(´・ω・｀)部分点くれないかしら

設問１
  【ア】10、11、12、13
  【イ】大
  【ウ】C
  【エ】PWをノートや付箋などの紙媒体へ記載する事を禁止する

設問２
（１）
  【あ】W社のPCまたはサーバからインターネットへのHTTP通信を盗聴する
（２）
  【い】配送管理PCから配送管理SaaSへHTTP通信によりZ情報を送信した際、
        その通信が盗聴される。通信は暗号化されていないため、
        Z情報がそのまま盗聴した者へと漏洩する。
  【う】6
  【え】大
  【お】中
  【か】B
  【き】プロキシサーバーの設定を変更し、社内の全PCとサーバからインターネット
        との通信についてはHTTPSのみ転送する。

設問３
  【ａ】5、10、12
  【ｂ】2、3、6


設問２は人によって解答バラバラですね・・・
というか表4のリスク番号1-3を見る限り、HTTP通信の盗聴であれば被害の大きさは「中」が正解か。時間ないからって雰囲気で決めず、問題文と表4ちゃんと読むんだった・・・

設問2は「配送管理用PC宛てに業務メールを装ったマルウェア添付付きメールを送って感染させてキーロガー等でログイン情報の収集してW社外部からログインしてZ情報を持ち出す」的な感じで書いたかな？
これに全てかけてるのでダメなら春まで冬眠ですよこれ

カラミティさんと全く一緒ですね
標的型攻撃の対策が出てこない+キーロガー的な要素入れとけば間違いではないやろみたいな魂胆で書きました

設問2はここまで意見が分かれると、資格予備校の解答速報も単一解でなく、複数の別解出してきそうな気がします。
もし単一解なら、さすがに各社でシナリオが分かれそう。微差や、ほぼ一致してたら談合が疑われるレベル。
(以前から水面下で擦り合わせ位しているのかもしれませんが)

設問2といい、情報セキュリティ基準(関連するやつの記号全部かかせるやつ)といい、全体的に解答バラけそうですよね。
合格がここにかかってるのでどうにか上振れしてほしい

問２は本試験の問題でさえなければ良問だと思う。
ただ・・自分の時にこんなの出るのはやめてくれ笑

メールSaaS、Ｗ社のＰＣサーバともにパターンマッチング型の対策しかないところと、プロキシサーバのＵＲＬフィルタリングがホワイトリスト方式ではないところから、
「Ｗ社用にカスタマイズされたトロイの木馬型のマルウェアをメールで送信して感染させる。」にしたよ。
対策は多重防御の必要性からふるまい検知の導入と、ＵＲＬフィルタリングで業務に関係のあるサイトのみ登録にしたが、出口対策としてＵＲＬフィルタリングだけでも良かったのかもなぁ

うーんさんとほぼ同様の回答にしました。
パターンマッチング型とURLフィルタリングが甘いところで、私は水飲み場攻撃が感染源の未知マルウェア感染ですが、、、

項番を答える問題って1も含められそうじゃないですか？
IDとPWでログインしているという情報は、「関連する情報セキュリティの状況」だと言えるのでは？

問4全然思いつかなかった(  ；∀；)
メールSaaSに不正アクセスされて、SサービスのIDPASSのメール覗き見られるって書いたけど全然ダメやん。

この投稿は投稿者により削除されました。(2023.10.09 10:33)

問3.a
5は要りますか？
入れてはみたけど要らない気がしてきました。

イエローさん
問3.aは10のみにしました。
「過失」により生じるリスクと関係があるか、という観点で見ると5は外部からの攻撃に備えた状況の記載ですので関係ないかと判断しました。また、12も同様で、メールでIDパスワードが送信されているから外部に誤って転送してしまうかも？とも思いましたが、さすがにこれは過失というより故意（重過失かも）ではないかと思います。
10だけか10，12かかなり迷いました。

初受験で過去問もあまり見れてないのでIPAの塩梅がよくわからず何とも言えませんが・・

私なりに[ あ ],[ い ]を検討してみました。
新な形式の設問なので、あくまでもご参考程度にしてください。

[ あ ]：ランサムウェアについて解答
[ い ]：二重の強迫の「機密性」について解答
と判断しました。

理由ですが、本形式の設問は初めてなので、IPAなりのやさしさとして、
段落：P24[リスクアセスメントの開始]の主題である「ランサムウェアによる
"二重の強迫"」を素直に解答すればよいと判断しました。

又、[ あ ]ですが、
・リスク番号 2-1は詐取について
・リスク番号 2-2、2-3は窃取について
記述されています。
そのため、2-4については、詐取・窃取以外のリスク源を解答すべきと判断しました。

[ い ]ですが、マトリクスは「Z情報の機密性への影響に至る経緯」とあります。
これと二重脅迫型ランサムウェアの特徴を考慮のうち
・二重脅迫型ランサムウェアの可用性への攻撃
・二重脅迫型ランサムウェアの機密性への攻撃
のうち下の、「二重脅迫型ランサムウェアの機密性への攻撃」を解答として
求めていると判断しました。

繰り返しますが、本設問はテーマである「ランサムウェアによる"二重の強迫"」を
理解しているか否かを問うていると思われます。

設問にある【知見】という言葉から、自分の思いついたものを記述した場合、
IPAは点を与えない可能性もあると思われます。

補足です。
【知見】という言葉についてですが、IPAとして今までの記述式の解答を
求めているのではなく、論述的（論文的）に解答せよという意味と捉えました。

記述式と論述式の違いですが、
・記述式：必ず1文
・論述式：複数文
という意味です。

いままでSCの解答は全て記述式だったので、初めて論述式の解答がでたという
ことと推測しました。

今までのみなさんの書き込みと問題文を読み直して、あ、は標的型攻撃でランサムウェア感染、き、は訓練実施、な気がしますね…
私は残念ながら全然違うこと書いてしまってましたが…

水飲み場派結構いて一安心。間違えなく標的型攻撃なのでチャンスはあるかなと。

pixさん、ありがとうございます。
"二重の脅迫"で検索したところ、IPAから丁度ヒットしそうなレポートが過去に出てました。しかも3年前…これはノーマークだった…

www.ipa.go.jp/archive/files/000084974.pdf

ウイルス感染は刺さらなそうだからしないタイプの攻撃にしたけど

ただ、「い 」の該当するマトリクスは「Z情報の機密性への影響に至る経緯」となっており、ランサムウェア感染は可用性への影響であることを踏まえると、標的型攻撃による情報漏洩が当てはまりそうに読めるんですが、どうでしょう。

ランサムウェア軸だと身代金を払わずにダークウェブでリークされるまでがセットなので書くの大変そうそうですね…(攻撃者に盗まれるだけならランサム関係ない)

>金しゃちさん
ここで語るべきランサムウェアは「通常のランサムウェア」ではなく、
「二重脅迫型ランサムウェア」ランサムウェアです。

「通常のランサムウェア」は過去のタイプです。
ファイルを暗号化して可用性に対しての攻撃を行います。

「二重脅迫型ランサムウェア」は進化系です。
可用性に加えて、身代金を払わない場合はデータの流出も行うという
可用性＋機密性を攻撃するタイプのものです。

本問の対応の発端自体が、二重脅迫型ランサムウェアから始まっており、
二重脅迫型ランサムウェアに対しての知見がないと解答できないものと
考えました。

たぶん、他の問題選択者の平均になるように調整されるのでは無いでしょうか
ランサムウェア限定ではあまりに点数が低くなる気がします

うみさん
自分も少しでも関連したら入れた派です。
1番はこういうログイン仕様だから、IDパスワードが盗まれるのであって、生体であれば関係ないみたいなな考えです。前提として必要なものは全て入れました

問4
G百貨店を装った標的型攻撃メールを送り、添付ファイルを開かせてマルウェアに感染させる。

標的型の模擬メール訓練等をしていない&パターンファイル型では検知できないマルウェアだったため感染拡大。端末がC&Cサーバとhttp通信を行いSシステムから一括抽出したZ情報ファイルの内容が漏洩。


ふるまい検知型のソフト導入
プロキシのhttp切る
標的型訓練する
一括抽出ファイルは暗号化する等～

的な感じで書きましたー。

ランサムによる二重の脅迫を本文で取り上げ
↓
マルウェアによるZ情報漏洩を想定して書く
↓
これに対する既出していない対策を書く

例えばランサムを想定したとして、感染する過程は様々想定されるので、表中の想定に被らないものを考えれば良いのではないかと。

水曜と木曜にTACとiTECが午後の解答速報出すけど、どっちみち公式が12/21に解答と講評を出すまではここで書かれてることも含め全て憶測の域を出ないでしょうね。
考えてもしょうがないので自分は今日からネスペの勉強にら入ります。
最悪SC落ちててもネスペの勉強しとけば支援士の勉強にもなりますし。

とりあえず知見は機密性全く関係ない攻撃を軸に解答した時点で全部まるっとバツ付きそうなので機密性関係してたら相対的に緩めの採点してくれると思いたいけどどうかなあ…

今後もセキュアプログラミングとネットワーク関係の問題は各1問出そうですね。

>>ぱおさん(No.131) 
流石に問１をセキュアプログラミングというのは無理がありすぎます。
コードの穴埋めすら１問もなかったですし…。

皆さんの回答を見ているといけてそう気がしてきました。
設問１のエは付箋を禁止しても悪意をもってメモされたらアウトなので、付箋禁止は違うかと思った。
あと、設問２のキはEDR導入も考えたけど、他社のセキュリティ対策にそこまで口を出すのはさすがに無いかと思って、止めました。

設問１
ア  10,11,12,13
イ  大
ウ  C
エ  アクセス元IPをW社で利用しているIPアドレスに制限する。
設問２
あ  C&Cサーバと通信し、PCのファイルをアップロードするファイルを添付したメールを配送管理課員宛で送信する。
い  添付ファイルを実行し、PCが感染した結果、横展開で広がって配送管理PCが感染。一括出力機能でPCにDLしたファイルがインターネットへアップロードされる。
う  1,2,5,6,10,11
え  大
お  低
か  C
き  リスク番号１－４と同じ（一括出力機能の禁止）
設問３
a  5,10,12
b  1,2,3,12

結局ここで議論しあっても解答と合格発表がでないと何ともいえないから、CISSPとPMPの勉強でもするか

ここは一週間くらい皆さんのストレス発散の場でもあるので
憶測の域をでないのは重々承知でも意味はあるでしょう

あと、ここで議論すると意外と自分の理解してなかったこともわかりますし。
あと数日したら別の勉強（自分はプログラミングがまったくわからないのが高度系にきて足を引っ張りだしているので実際の開発をしてみる）を使用と思います

今更ですが関連するものを選ぶ問題って、脆弱性に関連するものではなくてとにかく関係するものを選ぶ問題だったんですね。
終わった‥

たいぞうさん
どうでしょう。ここまでバラバラだとそれぞれ一致してたら１点。余分にかいたらー１点みたいな感じになる可能性もあるかなと

項番さん
確かにその可能性もありますね。
答えは解答速報や合否から判断するしかないですね。

設問1のアって、12は関係ないかもですね。自分も書いてしまいましたが・・・

この問題、一番罪づくりなのは公式に答えが出たとして、自分の回答がよかったのか悪かったのかのフィードバックがもらえないこと。積極的にいろんな人に自分の回答見てもらうしか判断できない

設問2ですが、ブルートフォース攻撃でログインされて情報盗まれると書きました。
他のサイトではパスワードは推測困難にしているのでブルートフォース対策はされているとありましたが、私の整理ではこんな感じで思ってます
・W社のPC、サーバには推測困難なパスワードが設定されてる（Sサービスもとは言ってない）
・SサービスはG社で利用しているアカウントをW社に貸与しているアカウント
・Sサービスのパスが推測困難とは書いてない
・SサービスのID、パスは分かりやすいものだったりする？

どうか部分点を。。。

ちなみにこれ選択肢答える問題何点なんでしょう。。
ここ全ハズシでも6割いけててほしい、、

これ設問2は「あ」が間違いだったらその後全部0点になるってことかな？？ここだけで30点分くらいありそうなんだけど…

問題文にあった「PC及びサーバのPWは十分に長く推測困難」という記述でブルートフォース不正解にされますかね
私は例えば複数台のパソコンで解析すれば必要時間削減できるから可能性を排除できないと考えたのですが…

この投稿は投稿者により削除されました。(2023.10.10 12:48)

設問１  エ
社外から S サービスへ向けたアクセスを制限する

×かなあ(汗)

関連するものを選ぶものの回答欄広すぎてめちゃくちゃ不安になりました

皆様お疲れ様です。上記やり取りを読んで、私も誘導に負けて問4を選んでしまったうちの1人です
本当に設問２次第ですね。。

設問２
あ：W社用にカスタマイズされたマルウェアを送りつけ、パターマッチングをかわして感染させる

い：マルウェアによってC＆Cサーバーとの通信が行われて、機密情報が漏洩する可能性がある。プロキシサーバーは特に認証を行っておらず、 http 通信などを中継するためマルウェア側からインターネットに向けてコネクトバック通信で指示を受ける場合などはファイアウォールによる検出ができない可能性が高い。これによって様々な攻撃につながる恐れがある

う：２  ４  ６
え：大
お：低
か：C
き：マルウェア対策としてサンドボックスなどの環境で実際に動作させ、不審な動きがないかどうかも合わせてチェックするようにする。

皆様的にはコレ、アリですかねナシですかね、、

マグロさんの回答は私的にはあり！ですっ。
何を隠そう私も似たような事を書きましたので。(笑)
っという事で私的には”あり”ですが、正解かどうかは分かりません。
逆に私と同じということは、間違っているのかも、、、

個人的には今回の問４のような問題が今後も出ると仮定すると、対策の仕方も
変える必要があるのではないかと、考えています。

この投稿は投稿者により削除されました。(2023.10.10 13:31)

設問２は、以下だと思っているのですが、皆さんの回答見ていると不安になってきました。
・あ
  ブルートフォース等のパスワードクラッキングにより外部から不正アクセスされる。
  （い  から  か  は割愛）
・き
  リスク番号１－１と同じ。
  →2段階認証とか操作ログの検証とかIPアドレスの制限が対策となる。

設問2は「あ」のアプローチを誤ると「い」～「か」までの回答が意味をなさなくなると思いますが採点はどうなるんですかね。

自分は当初標的型でパスワードとIDを入手する流れで書いていましたが、問題文を読み返した際に標的型攻撃の周知がされていて且つIDとパスワードの取扱いに関するセキュリティ研修も実施されているとあったので、標的型でIDやパスワードをそのまま取得するのは不可という意味だと思っていましたが、案外それが正答の一つになりそうでショックでした。

某掲示板見ていても、ランサム被害による完全性についての記述であったり、ソーシャルエンジニアリングの手法で回答した方も結構いるみたいですが、前提条件に合わなくても、攻撃方法と対策の組み合わせに矛盾がなければ部分点がないと、得点分布が高低に偏りそうな感じがしますね。

テンペスト攻撃で電磁波を読み取って、入力したID、PWを読み取るというのは無しですかね…？

正直、採点調整のために置かれた問題としか思えない笑
設問２本当にどこまで採点対象になるのか謎だよね

ランサムウェアって限定して書いた場合二重の脅迫にも触れてなければ、それは可用性の話になって問答無用でバツなのかどうか  とか
IDやPWは推測困難だからブルートフォース攻撃はNGなのか  とか
そもそもサイバー攻撃とは違う要素でのIDやPW抜き(ソーシャルエンジニアリング関係)はNG  とか

どうしても採点者の主観が大きくなるのは仕方ないことなのか
正直恣意的な採点でどこまで絞るか、どうとでもなるので何も考えないことにしました＼(^o^)／
かくいう私は特定企業用に作った標的型マルウェア送って中から外に情報漏らす攻撃で機密性を脅かすこと書きました。(ランサムウェアだけだと機密性ではなく可用性になるって考えは同じく至ったので広義にマルウェアといいC＆Cサーバ経由の話を持ち出しました)

気楽に待ちましょう～

poさん、私も同じ回答しました。
推測困難なパスワードにしたところでパスワードロックの制限等がなければ時間かけて解除されちゃいますからね。

おそらく、採点は総合判断でしょう

全て矛盾ない...A 20点
1部矛盾なとがある...B 15点
全てが適切でない...E 0点


のように

設問1のエ
クリアデスクかIPアドレス制限か。
どちらとも取れそうでものすごく悩みました。
ここだけで頭を抱えて10分以上使ってしまった。

結果、クリアデスクにしました。
・IPアドレス制限は、W社社員のパスワード窃取に限らず、サイバー攻撃などの不正アクセス全般に関わる対策であること
・ゾーニングされていないことやパスワード書き散らしについて何も言及されないのはおかしいと思うこと。

スレッドの最初の頃は私と同じ回答が多く安堵していましたが、だんだんIPアドレス制限が増えてきて、やっぱりこちらの回答だったのかもしれません。

これ、着眼点別の複数解釈の正解にならないですかね……

今回SサービスにおいてCSRFで情報を取得したあと、掲示板に自動で書き込ませると書きました。

後で調べるとこれは通常のCSRFの動作とは異なっており、特殊な例にあたると理解しています。
ただ、理論的に実現可能かどうかというところが考えてもわからず悩んでいます。

私がプログラマでないので余計わからないのですが、Sサービスに対してのリクエストを送ったあとのレスポンスのZ情報が画面に表示されたあとに、そのページをスクリプトによってスクショするなりして、脆弱性のある掲示板Aに書きこむリクエストを送る。というような連続したリクエストを送るリンク等をメールで送ることは可能なのでしょうか？

現実的に実装できるかどうかと理論上可能かどうかをご教示いただけると幸いです

際どいラインさん

私も同じく迷ってゾーン管理にしちゃいました。

ゾーン管理されてないままだと、担当者以外のW社従業員が社内のその他のPCなどを使ってサービスを使えちゃうんじゃないか？って思ってしまいました。
社内のPCからだと、IPアドレスで制限かけても意味ないかなって・・
社外からのアクセスは防げるのは確かに大きいですが、内部犯なので・・

初受験ですさん

「2つ書け」と問題文にあれば、ここまで悩まなかったのですけどね……
あの解答用紙だと、実際に2つ書くこともできたのですが、緊張で頭が回りませんでした。

・Z情報の機密性への影響に至る経緯に着目した人
社外への持ち出し防止→IPアドレス制限

・リスク源による行為又は事象に着目した人
W社社員なら誰でもパスワードを入手できる環境の是正→ゾーニング＆クリアデスク

IPAの採点者様、お慈悲をください……

この問題今さら解いたんですけど、めっちゃ難しいですね

CISSP保持者とか業務でリスクアセスメントをやってる人でない限り、問1と問3を避けてまで挑む問題ではないと思いました

「エ」はクリアデスクの徹底周知とIPアドレス制限で意見が割れてるんですかね？

自論としてはIPアドレス制限だと思いました。理由は以下の3つです：
(1)IPアドレス制限の方が設定に工数がかからないこと
（周知徹底だとeラーニングとか部内懇談会をしないといけない）

(2)IPアドレス制限の方が通常業務に支障がないこと
（ノートを管理するロッカーの鍵管理とか持ち出しチェックをする手間が発生するのはダルそう）

(3)悪意のある配送管理課員に対して徹底周知の効果は薄いため、クリアデスクの方がリスク低減の効果が弱いこと
（クリアデスクは誰かがメモったPWを配送管理課員以外のW社員が窃取することの制限に有効だが、配送管理課員自身でPWをメモして家に持ち帰るのを制限できない）

午後はほぼ問2、問4の選択者だけでしたね。
投稿数が全てを物語ってる。

設問２に時間かけすぎて見直し全然できんかった。終わた。

解答速報でましたね。
選択肢から選ぶ問題は完答でなければ点数がつかなかったり、設問2も二重脅迫のみが正解ってなっているとかなり厳しいですね…
結果でるまでは気にせず他の勉強とか進めたほうがいいのはわかっているものの気になりすぎてしまいますね。

番号選ぶやつ、部分点ほしいなぁ…

初受験さん
解答速報見ました。正直同感です。
例がまったくなく、他は「省略」というのが意地悪ですよね。
毎回違う回答になりそうです・・・。

私もcsrfでセッションIDが盗聴される(スクリプト実行なり、GET想定でクエリ文字列みたりなんだり)で回答しましたが、NGそうですね。
問2は配点も大きいので、今回は諦めです。

厳しいかな、、
問2が0点なら60点にはとても届きそうにない、、。

項番の問題、ここまで解答公開してる各サイトでもバラけてると本当にダメな問題だと思う

選択肢、完答って
回答投稿した人は全滅じゃないですか。

設問2の項番の問題、基準点を4点として過不足一つにつき1点減点とかしてくれないかなあ。あと、（い）～（き）って（あ）が間違ってても採点してくれるのか？？特に大低C。問2が多分40点は取れてるっぽいので問4で少しでも部分点が欲しいところ。

itecもTACも共に設問2はランサムウェアですね

TACの回答、「配送管理PCからアクセスできるSサービスのZ情報が暗号化され」
これは点数貰えないと思います。

配送管理SaaSは暗号化されてるとは書かれてなかったから、そこを中間者攻撃で傍受して間接的にZ情報を抜き取るは点数貰えるだろうか...

この投稿は投稿者により削除されました。(2023.10.12 20:21)

問4の想定作文、「あ」「い」「う」が模範シチュエーションからズレていて、
リスク評価の「え」「お」「か」や、対策の「き」が合っていた場合、どういう配点になるのだろう。

前提違うからオールバツとかないよな……

関連する番号を選ぶ問題、tacとitecで解答が全然違うんですね…
IPAとtacとitecで公開対談して欲しいです

この投稿は投稿者により削除されました。(2023.10.12 20:24)

この投稿は投稿者により削除されました。(2023.10.12 21:06)

今回は国語の問題でしたね

合格させてくれたら悩んだこともいい思い出になりますけど、この問題で落ちたら理不尽に感じそうですよね。

ダメ押しで「関連する番号を選ぶ」は、受験のプロですら見解が割れるし。

個人的にはそこまで悲観視していないですねー

この掲示板だけ見てると、「皆高得点取れてそうで凄い」と思い込んでしまいそうですが、
書き込んでいるのは受験者の一部ですし、これは勝手なオカルトですが、情報発信する人はそれなりのラインに達している人が多いのかなと思っているので。

午前もここ数年に比べれば、新問落としたり、過去問完璧じゃない等で6割切る人も
出やすい問題かなと感じました。そうなると午後挑戦権のある人も少しは絞られるし、
ランサム以外は０点とすると、、午後でそこまで大量に落ちるのか？と
まぁ、自分のために言い聞かせているだけですが笑

設問1のエがIP制限ではないと思った理由

リスク1-1とリスク1-2を比較した場合、管理策の箇条書き最初の2つは一緒なので、最後の1つだけは違うことが予測できる。
仮にエがIP制限だった場合、1-2にも当てはまる管理策となるが、最初の2つがどちらにも記載されているのにこれだけが1-1にしか記載されないのはおかしい。
このことからエはIP制限ではないと予測できる。
1-1と1-2の違いは「リスク源による行為又は事象」の違いで、それは「書き写して持ち出す」か「メール送信」かの違いとなっており、1-2の管理策には「メール送信」に対する管理策が記載されていることから、1-1は「書き写して持ち出す」ことに対する管理策が答えと予測できる。

答えはゾーニングと思いますがどうでしょう？

解答速報見ました。
選択肢を全て選ぶ問題、時間なくて何を選んだかメモしてませんがこれだけはわかります。
絶対間違った。

私は記号選択を全て落としていますが問4で35点は取りたいところ

解答速報でもまるで解答が一致しない問題は珍しいですね。
配点的に部分点を設けるか点数を下げる対応・別解用意になりそうです。

それにしても大・低・Cに〇をつけるだけで１５点もらえるのだとしたらコスパとしては良問ですね。

>肩の荷が下りたさん
私がIPAだとしたらエは
「常時稼働2名とし、IDとパスワードを持ち出さないよう互いに監視しあうようにする」
と答えさせたいです。

P23に常時稼働1名とあるので、それが持ち出す隙を作っていると判断しました。
また、P26 表2 11に「不正行為の動機付けは十分に低い」とあるので、2名の場合、
片方が意識が低く不正をしようとしても、もう片方が阻止すると判断しました。
私見ですが、これらくらい深読みしないと、IPAの真意には届かないかもしれないです。

1-1と2-4だけは影響に関わらず対策をみたいな記述ありますが、
この二つだけ特別扱いされる理由はなんでしょう？

え。なんでランサム以外は??なんですか…
標的型メールはだめ？

文字化けしました
ランサム以外は0点

あせって大事なことを書き忘れた笑
標的型攻撃メールのマルウェアが暗号化はしない暴露のみのマルウェアの場合です

この投稿は投稿者により削除されました。(2023.10.13 08:00)

私も肩の荷が下りたさんと同じ考えです。持ち出しに対する管理策で0点だとちょっと無理があるんじゃないでしょうかね。

この投稿は投稿者により削除されました。(2023.10.13 10:09)

この投稿は投稿者により削除されました。(2023.10.13 09:46)

解答速報見ましたが、どこもランサムウェアの想定ですごく心配になってきました泣

言い訳を致しますと(見苦しいｗ)ランサムウェアを書く選択はあったんですが狭すぎるというか、何もランサムウェアに限った話ではなくないか？と思ってマルウェアと書いてしまい、、

本文の設定状況に沿う範囲でっていう記載をみて
パターンマッチングしか導入していない＆FWはアウトバウンド対策しか明記されてない＆プロキシが甘い  ここら辺を突くのが良いかなと思ったんですよ

企業ごとにカスタマイズされたマルウェアだったら
それこそパターンマッチングだけじゃ対策できない可能性高いですし

で、広義のマルウェアには当然二重脅迫型のランサムウェアも含まれるし、キーロガーであればIDやパスワードも盗られるかもしれない、コネクトバック通信で実に様々な攻撃を通して機密情報の窃取が可能。そういった意味でほぼ全ての機密性に影響があるということで大低Cっていう判定としました。

W社用にカスタマイズされた >この文言で標的型攻撃だと読んでくれるかどうか汗

ランサム明記じゃないとバツなのかなぁ

でもランサムの暗号化は機密性関係ないっすよねー。冒頭のランサム匂わせはむしろそのひっかけかとすら思うんですけどねー。
昔、年金機構がやられた系の話がマッチしてると思うんだけどなぁ。
ランサム書くなら二重脅迫って縛りなだけだと信じたい

たかさん
僕もそう書いちゃったんですよねー?

メール経由でマクロウイルス実行
→PCに入ってるz情報のファイルが外部に漏洩

みたいなストーリーにして、この場合はz情報は一部だなーみたいな判断にしちゃいましたね...?

文字化け失礼しました

ランサムの感染経路はメールしかあかんかな？

あかさん

返信ありがとうございます。
自分はランサムウェアという言葉は使いませんでしたが、
W社員が興味を持ちそうなURLをメールで送りつけ、
アクセスしてきた社員にウィルスを送り付ける旨をリスク源の行為に書きました。
また、至る経緯にはそのウィルスによってＺ情報ファイルを含む暗号化され金銭を要求されたり、外部に情報を送出される旨を書きました
被害の大きさ大、発生頻度は低で書いたものの、改めて読み直していて
IDとパスワードを窃取しSサービスにログインできない限り、Z情報のほぼ全てにアプローチできる手法がないような気がして、先ほどの意見を挙げました。
個別でZ情報の1~50件を毎日別ファイルで保存してるとか、全件抽出されたZ情報が保存されているような状況を想定しないとほぼ全てのZ情報とは言えない気がするので、一括出力機能に触れて回答する場合は被害の大きさは中になるかもしれないなと思った次第です。

この投稿は投稿者により削除されました。(2023.10.13 14:50)

と思ったのですが、
リスクアセスメント表の項番1-4が一括出力したZ情報ファイルが漏洩した場合の被害の大きさが大になっているのでZ情報ファイルはほぼ全てに該当するのかもしれません…

番号を選ぶ問題がサイトによってびっくりするほど割れていますね...

TACとiTECを比較すると、どちらも空欄アは8を入れているようですが、この掲示板で8を入れている人はほとんどいませんし...

空欄a,bは類を見ないほどに意見が割れていますね。IPAの模範解答が気になります。

多少の違いというレベルでない違いが解答速報にでているので、
文意通りに読み取るということが不可能な問題です。
私はこんな意図でした！と言ってもそれってあなたの個人的な意図ですよね状態

これ要は皆天井点がみんな34点ってことだよねTAC基準で番号書く問題が全員外してるとして

相当な調整しないと割に合わないんだけど

こんな割れるんなら確かに問題として良くない。フィードバックもないし

せめて全員に10点ぐらい配ってもろて
のこり34点中何点取れましたかくらいの補正は欲しい

間違いなく合格率４０%は超えそう

問４選択者を普通に選択したあとに他問題の平均点と同じになるように下駄をはかせる。

IDとPWの持ち出し（故意）ってわざわざ強調してるくらいだしPW強度は関係ないと思うけどどうなんすかねぇ、よく読んでない人向けのひっかけだと思ったけどTAC入れてんのよね。

問2はともかく、問1と問3の番号選ぶ問題については考慮して欲しいですね。
これだけ回答がバラバラだと受験生の質ではなく、問題の質に関わってくると思います。

抗議などしたからいれば返答詳細教えてください笑笑

【知見】という言葉の解釈についてIPA的に考えてみました。
「あなたの知見に基づき、答えよ。」という文章は
『あなたの好きなように解答せよ。』ではなく、
『字数制限なしで論述解答せよ。』
と解釈しました。

これは従来の設問形式である
「xx字以内で答えよ。」という文章の
『xx字以内で1文で記述解答せよ。』とは異なる、
新たな方式と思われます。

また、設問2-(1)は「本文に示した状況設定に合う範囲で」とあるので、
IPAとしては状況は1つに限定している可能性も大きいと考えられます。

もう国語の問題ですね。
IPAはそうゆう人材を求めてるの？って思ってしまいます。

仮に正解が実質ひとつだとしたら、この問題は
50点満点で35点に小さな山が、15点付近にとてつもなく大きな山ができる得点分布になりますよね
あとは記号選択割れてますので全体的に0から40点あたりに散在する形で40点以上の高得点は皆無になるんじゃないですか？

下駄の方法は知らないですがxを素点として
0.7x + 15点  みたいな補正が欲しいですね

問2に、SaaSにブルートフォースとか、総当たりでログインを試行される、みたいなこと書いた方どれくらいいますかね？

やっぱりランサムウェア関連の回答しか許されない仕組み（誘導）になっているのかな？

設問2についてはipaから「問題文と設問をよく読み，求められていることを理解した上で解答してほしい。」と怒られるやつですね。
文章冒頭の二重脅迫の社会問題を"きっかけ"にリスクアセスメントを行ったのであればランサムウェアが答えるのが一般的と考えるか、もしくはリスクアセスメントを行うただのきっかけであり、設問2に記載の通り素直に状況設定に沿う範囲であなたの知見で好きなように攻撃が成立する要素を答えても構わない、と考えてよいかについては試験会場の雰囲気に飲まれてた私は後者と思いました。
ランサムウェアは別物でしょうが2-2と2-3の事とも解釈されるかも、と思ったのもありますが、、、
結局悩みに悩んで安直に成立するであろうSサービスへのブルートフォース攻撃にしましたがどうなんでしょうかね。

脆弱性のある問題ですね~

問1はそこそこ簡単だったので、問4は23点くらいは取りたい~

設問2ですが、すでに2-1で問題文に記載されている「Sサービスの偽サイトを作った上で、偽サイトに誘導する攻撃はフィッシングメールを配送管理課員宛てに送信する」というのはスピアフィッシング(標的型攻撃メール)だと思い、その対策は(省略)で記載されているとして、違う攻撃手法で考えてしまいましたたが、tac やitec の解答通り設問2は標的型攻撃メールでランサムウェアを送りつけるのが解答になってしまうのでしょうか...？

想像ですが、
リスク源：ランサムウェア
ランサムウェアに感染するまでの手法＆経路：あなたの知見で解答
と判断しました。

機密性の観点からと言っている時点で正解がランサム限定ってのはどう考えてもおかしいでしょ。
二重脅迫ランサムも暴露マルウェアも機密性の観点から見れば同等。むしろ機密性関係ない暗号化うんぬんで文字数使うくらいなら暴露マルウェアの方がよりいい解答書けるわ。
ただ標的型攻撃ってのは共通だろうね。

なるほど！
とりあえず早く結果を知りたいですね~
60点さえ超えていれば！

今回の問4、本気でIPAは採点どうするつもりなんでしょうかね。
設問2よりも、むしろ設問3とかの、解答速報で見解が割れている項番選択問題が気になるところです。
新形式での試みとはいえ、この試験そのものがカオスエンジニアリング過ぎますね…

私もメールで偽サイトに誘導する項目が標的型のことを指しているので、それ以外に考えられる攻撃方法を考えろという問題と解釈してしまい思考停止してしまいました。
というか標的型での回答を書いているうちに、これってメールの攻撃内容ほぼ同じたと思ってしまい、上記の考えに至ったのですが。
せめてサイバー攻撃の欄は、他の攻撃パターンを例示した表形式の穴埋めではなくて、前提条件から想定される攻撃を考えろという問題にして欲しかったですね。

ランサムウェアもマルウェアの一種です。
なので、C&Cサーバと通信し情報搾取するマルウェアと書いたほうが二重脅迫ランサムもそれ以外の機密性を侵害するマルウェアも含むことになるので高得点になると考えます。
はせさんの言うとおり暗号化という可用性に対する文字数の無駄遣いもないです。

問1と問3選んだ人からは簡単だった、すぐ終わったって意見が多いから問4と問2は加点欲しい。。。
特に問4は時間かかるからもう一個の問題解く時間も無くなってしまった。。。

問4は部分点あると思ってます。
問1、問2、問3は(選択した人にとっては)易しかったので、問4を厳しく採点してしまうと問題間の格差が出すぎてしまうかなって。

なので、問1、問2、問3は部分点無しの厳しめで、問4は部分点有りくらいで丁度いいのかなという想像。

まぁ、、それでも絶対評価だとあまりにも多くの人が通過してしまいそうなので、少なくとも上位30パーセントに入りたいところですが、それだけの回答が記載できたかと言われると自信ないかなぁ。。

百貨店になりすまして、メールでIDとパスワードを聞き出すというのはサイバー攻撃に分類されるでしょうか？どちらかというと、ソーシャルエンジニアリングに分類されるので、本問の内容に沿わないでしょうか？

私もPDFで解いた時点では「あ」でランサムウェアを思いつきましたが、「Z情報の機密性に対する脅威」でなければ設問2をまるごと無得点にされても納得するしかありません。

上記の条件を満たしつつオンラインでW社に仕掛けて成功する攻撃手法であれば全て正解でしょうが、リスク1-2と似た「パターンマッチングで検出できないキーロガーのダウンロード実行でID・PWを窃盗」あたりが無難でしょう。
リスク評価は1-2と同じ、対策は「プロキシサーバで配送管理用PCのURLフィルタリングを厳格化」でいいと思います。

この投稿は投稿者により削除されました。(2023.10.18 00:10)

一番無難だと思うのはブルートフォース攻撃による漏洩なのですが、仮に不正解だった場?#9321;PAはその理由を説明できるんでしょうか。
まさか、PWは十分に長く推測困難だから対策済み、とか言わないでね、、笑

たなか さん
聞き出しという意味ではソーシャルっぽくはあるけど、手段としてメール使ってるから少なくともソーシャルエンジニアリングではないという壁は突破かと思います。
そこからZ情報の機密性にまで触れていれば、嘘や矛盾はないですよね。

ただ、無難なのは先輩達が仰る通りで、標的型攻撃によるマルウェア感染ストーリーかと思います。
他受験者の出来具合次第では、点数調整のネタとして、
「聞き出しかぁ。うーん、ソーシャルエンジニアリングの行からすぐ思いつくだろうし、部分点止まりにしておくか」とかなりかねないので

属人化さん
問4設問2:（あ）メールを盗聴する。（い）以下それを受けた答え、だと全部ダメにされちゃいますかね。せめて“大低C”だけでも点数もらえたらうれしいんだけど…

属人化SEさん
ありがとうございます。やはりマルウェアが無難なラインですよね。。。そう思います。
知見に基づく自由記載とはいえ王道ラインがキーワードとして用意されていたので安直だったなぁと思います。

設問２に関しては解答は一つではなく、あ〜きの筋が通っていることが重要、と仰っている方がいますが、
私も同意です。
なので、「大」「低」「C」も、（あ）でどのような回答をしたのか、次第だと考えます。
ちなみに私は（あ）ブルートフォース攻撃による漏洩、として（い）〜（き）を回答しています。
なお、PWが推測困難だからPWを狙った攻撃は対策済み、というのはブルートフォースの対策にはならないので、不正解にはならないと思っています。

設問２よりも厄介なのは、項番選択させるやつですね。
TACとiTEcの回答が分かれている時点で、問題としてどうなの？と思います。。

さんま さん
私も受験者なので、大したことは言えませんし、話半分でお願いしたいですが、
問題のケース内で発生を否定できないかつ矛盾無いストーリーで機密性に触れているのであれば、題意に沿ってる回答だと思うんですよね。

問題の状況設定内で、盗聴発生を否定できないかつ矛盾ない具体的なストーリーを書けて、そこから漏れる情報から結果的にZ機密性が紐づくならいいのでは？と思います。
ただ、対策としてメール暗号化とか書くと、流石に状況設定から外れるのかなと思います。w社やs社の状況説明で、そこら辺の仕様は明記無かったと思うので。

属人化SEさん
ありがとうございます。結論IPAのみぞ知る、ですよね。合格発表までの間の時間をどう過ごすか迷いますよねー。

私は、匿名で送られてきたマルウェア付きのUSBからの感染→IDPWの窃取→攻撃者サーバへのZ情報アップによる漏洩  で記述しました。

取り外し媒体は書き込み禁止しか対策してないって状況にあったので。また取り外し媒体の取り扱い方法について対策としても触れてなかったので。メールではないですが標的型にはなりますよね。

何とか点つけて欲しいところです。

ぱぱ さん
私も番号選択の方が気になりますね
選んだ論拠を記載させてるわけでもないので、考え方が妥当かとか矛盾ないかとかで判定難しいですからね

もうどんな公式解答出しても荒れると思うので、いっそこの設問は「解答非公開」とかでいいんじゃないですかね笑
今から採点講評で何を言われるか楽しみです