令和4年 午後2 問2
広告
れみさん
(No.1)
令和4年 午後2 問2の設問1 の下線2について質問です。
ネットワーク動作の検知のイベントで、攻撃者のwebサーバのものと思われるurlにファイルをアップロードしていたpcがあることがわかった。
よってwebサーバの通信はhttp、動作種別はファイルのアップロードなので[httpでファイルがアップロードされた]
とありますが、urlを使ったwebサーバとの通信はhttpに限らずftpでのアップロードもあると思うんですけどこの場合解答としてはスキームを含まずファイルがアップロードされた。の方が正しくないですか?
攻撃者webサーバにftp通信でアップロードした場合、緑本やipaの回答の検知ルールだと検知できなくなると思うのですが。。
ネットワーク動作の検知のイベントで、攻撃者のwebサーバのものと思われるurlにファイルをアップロードしていたpcがあることがわかった。
よってwebサーバの通信はhttp、動作種別はファイルのアップロードなので[httpでファイルがアップロードされた]
とありますが、urlを使ったwebサーバとの通信はhttpに限らずftpでのアップロードもあると思うんですけどこの場合解答としてはスキームを含まずファイルがアップロードされた。の方が正しくないですか?
攻撃者webサーバにftp通信でアップロードした場合、緑本やipaの回答の検知ルールだと検知できなくなると思うのですが。。
2024.04.14 16:05
れみさん
(No.2)
私の回答はファイルがアップロードされた。です。
下記にcopilotの回答を載せます。
確かに、あなたの指摘は正しいです。URLを使用した通信は、HTTPだけでなくFTPも含むことができます。したがって、攻撃者のWebサーバーに対するファイルのアップロードは、HTTPまたはFTPを使用して行われる可能性があります。
しかし、問題文の文脈からすると、「攻撃者のwebサーバのものと思われるurlにファイルをアップロードしていた」という表現は、一般的にはHTTPまたはHTTPSを介したWebベースのアップロードを指すことが多いです。FTPを使用した場合、通常は「FTPサーバー」や「FTPサイト」などと表現されることが多いです。
この場合私の回答であるファイルがアップロードされた。だけだと減点になるのでしょうか
下記にcopilotの回答を載せます。
確かに、あなたの指摘は正しいです。URLを使用した通信は、HTTPだけでなくFTPも含むことができます。したがって、攻撃者のWebサーバーに対するファイルのアップロードは、HTTPまたはFTPを使用して行われる可能性があります。
しかし、問題文の文脈からすると、「攻撃者のwebサーバのものと思われるurlにファイルをアップロードしていた」という表現は、一般的にはHTTPまたはHTTPSを介したWebベースのアップロードを指すことが多いです。FTPを使用した場合、通常は「FTPサーバー」や「FTPサイト」などと表現されることが多いです。
この場合私の回答であるファイルがアップロードされた。だけだと減点になるのでしょうか
2024.04.14 16:09
pixさん
★SC ダイヤモンドマイスター
(No.3)
質問は「令和4年【秋】 午後2 問2の設問」でしょうか。
同様の質問が過去数回ありました。
2点ほど留意すべき点があります。
・WebサーバにアップロードするのでHTTPと考えるのが自然である。
文章中にFTPという文言はないので、FTPは拡大解釈である。
・スキームをなにも指定せず「ファイルがアップロードされた」の場合、
正規のファイル操作などでファイルサーバにSMBでファイルをアップロードした
だけでも、誤検知される可能性がある。
これは意図しない動作である。
です。
特に誤検知についての検討はルールを設定する上で気付くべき事柄と
考えられます。
>urlを使ったwebサーバとの通信はhttpに限らずftpでのアップロードもあると
>思うんですけどこの場合解答としてはスキームを含まずファイルが
>アップロードされた。の方が正しくないですか?
同様の質問が過去数回ありました。
2点ほど留意すべき点があります。
・WebサーバにアップロードするのでHTTPと考えるのが自然である。
文章中にFTPという文言はないので、FTPは拡大解釈である。
・スキームをなにも指定せず「ファイルがアップロードされた」の場合、
正規のファイル操作などでファイルサーバにSMBでファイルをアップロードした
だけでも、誤検知される可能性がある。
これは意図しない動作である。
です。
特に誤検知についての検討はルールを設定する上で気付くべき事柄と
考えられます。
2024.04.14 17:06
れみさん
(No.4)
すみません。開催時期が抜けていました。。
・WebサーバにアップロードするのでHTTPと考えるのが自然である。
文章中にFTPという文言はないので、FTPは拡大解釈である。
・スキームをなにも指定せず「ファイルがアップロードされた」の場合、
正規のファイル操作などでファイルサーバにSMBでファイルをアップロードした
だけでも、誤検知される可能性がある。
なるほど、後者については完全にイメージできていませんでした。
設問の下線1と下線2を含めた検証ルールなので、メールフォルダのパスのファイルの読み込みがされてからファイルのアップロードという条件なので誤検知はないんじゃないか?と考えましたが間違えでしょうか
・WebサーバにアップロードするのでHTTPと考えるのが自然である。
文章中にFTPという文言はないので、FTPは拡大解釈である。
・スキームをなにも指定せず「ファイルがアップロードされた」の場合、
正規のファイル操作などでファイルサーバにSMBでファイルをアップロードした
だけでも、誤検知される可能性がある。
なるほど、後者については完全にイメージできていませんでした。
設問の下線1と下線2を含めた検証ルールなので、メールフォルダのパスのファイルの読み込みがされてからファイルのアップロードという条件なので誤検知はないんじゃないか?と考えましたが間違えでしょうか
2024.04.14 17:51
One Of 合格者さん
(No.5)
ファイルがアップロードされた
部分点がもらえるかもしれませんが、保証しません。
キーワードを網羅することも過去問を解く上で重要な訓練と考えます。
部分点がもらえるかもしれませんが、保証しません。
キーワードを網羅することも過去問を解く上で重要な訓練と考えます。
2024.04.14 18:00
pixさん
★SC ダイヤモンドマイスター
(No.6)
>設問の下線1と下線2を含めた検証ルールなので、メールフォルダのパスのファイルの
>読み込みがされてからファイルのアップロードという条件なので誤検知はないん
>じゃないか?と考えましたが間違えでしょうか
それでは、人がメールフォルダのパスのファイルを読み込んで、それをファイル
サーバにアップロードしたら、検知してしまします。
HTTPと設定することによって、その可能性を回避できるのであれば、HTTPと
設定する意味は十分にあると考えられます。
また、マルウェアの特徴して、「HTTPでファイルをアップロードする」という
確実なものがあります。
ここで注意したいのは、HTTPということです。
上でスキームがHTTPかFTPかということがあがっていました。
しかしスキームの違いではなく、ファイルが内部か外部に出るかという観点でみれば
HTTPは外部にでるという意味合いが強いです。
そういう意味ではHTTPと指定しておく意味合いは十分にあると考えられます。
2024.04.14 18:05