令和7年春期試験 午後試験【問4】についての投稿を受け付けるスレッドです。

XYZのところ全然ダメだったわ。

CVSSのバージョン、問2でv3が使われてたのはひっかけなんですね。。
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/f55m8k0000003v30-att/f55m8k0000003v94.pdf

あれ私もめっちゃ時間使いました。

3.0ひっかけかーー

内容はそうでもないのに問題の形式にやられた感あります
GIPの調査あんな穴埋めにする意味ってあるんですかね

え、XYZのとこめっちゃ簡単に思えたんですけど何か引っ掛けがあったんですか？

時間があればX･Y･Zとd〜hの空欄は確実に正解できるような気がしたのに…つらいです。🥲

Z,X,Yの順番でしたか？

ZXY
クアイクキで回答しました、
重複あり？

自分はオ、ア、イ、ク、キにしました。
最初オの場所はクにしていたのですが途中でクが来た時に解答変えました

ver4でも点数もらえると嬉しい
zxyオアイクキかな？ここだけで20分くらい考えた

ZXY、オアキクキにしました。
オは組織名で検索できるので社名が入るのかなと…

他の大問では重複して良いみたいに書いてあってこっちはなかったから、重複はなしかな

>no13
同感です

ミス
>>no14

ZXY
オアイクキ
にしました。

どこかで組織名とあったのでv社かな

FQDNが唯一取れるのがZなので手順1をZ、その後の手順2と3が並列だけどZから取れるGIPと紐づくのが手順3の方だから、ZXYって感じにしました。
手順1の検索条件がわかんなくて、GIP割り当て事業元にしちゃったんですけど（なぜこれが入ってる！？って思って）、どうなんですかね、、、

重複なしですよねーーー
考える時間足りませんでした…4／5あってればいいか…

zxy
オアイクキ

csvvのバージョン？
うるせぇ9でどうだ！（未来行き過ぎた）

設問1はサブドメインテイクオーバーの話ですよね？
権威DNSサーバ
しかしうろ覚えだからレコードを修正するとかチキった答え書いた

CVSSの件、問1にv3って書いてあるな
引っ掛けか？実は1くらい進んでるんじゃないか？
いや、これは新しい傾向で問をまたいでヒントを取ってくる必要があるってことか？
えーい、ままよ！ そのままv3でどうだ！

と無駄な思考をめぐらせて結局落とした上に時間不足になったんですが？？？

クアイクキじゃだめなのか…

>23
マジでこれ
v3あったから引っ掛けかと思ってv3.1かワンチャンのv4.0迷った挙句、出題ミスかと思ってv3.0にしちゃった。

1 権威DNS サブドメのレコード消す

2-1 他社データセンター、レンタルサービス
2-2 WHOIS
2-3 z x y
2-4 オアイクキ

3-1 当該FQDNにHTTP接続してレスポンス見る（？）
3-2 zサービスでOSと応答メッセージ情報引いてくる
3-3継続 脆弱性対応判断→必要ならやる
3-3廃棄 廃棄して台帳更新（？）

4-1 分からず
4-2 ウ
4-3 広く攻撃が確認されてるやつ
4-4項1 CVSSとKEVみて優先度つける（？）
4-4項2 優先度高いやつから連絡（？）

たぶんそうだと思います。
CNAMEとか、Aレコード削除するとかだと思ってます

認証やインシデントレスポンスの内容がくると思ってたのに全然出題がなかった
とにかく埋めたって感じです。

設問1
権威DNSサーバー
キャンペーン時に使用していたCNAMEレコードの削除
設問2
（1）a他社データセンターを契約して利用している
      bレンタルサーバーを契約して利用している
（2）ダイナミックDNS
（3）あZ いX うY
（4）dオ eア fイ gク hキ
設問3
（1）GIPとドメイン名の利用料の請求書の内容を調査する（みたいなかんじ）
（2）Zサービスを利用してOSと応答メッセージを調査する（みたいなかんじ）
（3）継続する・・・OSやバージョンを最新化（みたいなかんじ）
  継続しない・・・FQDNをドロップキャッチされないよう対策し各契約を解約（みたいなかんじ）
設問4
（1）ｖ3
（2）エ
（3）特に自発的に対応すべき脆弱性
（4）サーバー導入のSWの情報を公式サイトから取得（みたいなかんじ）
  各部署が対応すべき脆弱性を伝え、対応内容を確認（みたいなかんじ）

クキとXY反対にして書いちゃったから確実に不合格だわ萎えた

4-4の1と2はそれぞれどこまで書くべきか迷った
自分は1をニュースだけじゃなくてKEVも確認する
2をCVSSとKEVから優先度を決める優先度に基づいて本部へ連絡すると記載しました

自分もそこ反対にして書いたわ

XYZの問題について質問なのですが、使うサービスにもよると思いますが、実務的には調査はあの手順なのでしょうか？

WHOISってプロトコルなんですね
WHOISデータベースは知ってたけど

Webサービスが動いてるかのところはなんとなく、nmap にしたけど、どうなんだろ

XYZのところ部分点くれるかなあ
全部合ってないと駄目なんかな

継続する、継続しないについて
継続するの回答は
バージョンを最新にする。がやっぱり正しいのかなぁ〜。。
目標K-1についての話をしていて、問題文がK事業部が行うべき対応なので、
公開IT資産にする申請を行う感じに書きました。。

わっかんねぇ〜

パズルで頭パニックっててとりあえず埋めたニキ

設問1
権威DNSサーバー
DNSレコードの修正
設問2
（1）a利用を終了しているIT公開資産
      b SW
（2）DNS
（3）あZ いX うY
（4）dオ eア fイ gク hキ
設問3
（1）外部から通信可能な通信プロトコルとポートの確認
（2）診断する（）
（3）継続する・・・OSやバージョンを最新化して資産管理台帳の管理部署とかを更新する
  継続しない・・・公開を停止して資産管理台帳を編集する
設問4
（1）ｖ4（らしいです。俺は適当に2と書いてます
（2）エ
（3）既知の重要な脆弱性
（4）PCやサーバのインストールSWを自動的に収集できるようにして資産管理と紐づける
  重要な脆弱性については対応の要否は情シ側で判断して、対応状況を情シで確認する

最後の設問は実務ベースで空想しました

この投稿は投稿者により削除されました。(2025.04.20 16:48)

WHOISのところ、RDAPって書いちゃいました… 
RFC3912ｪ

whoiswでてこなくてnslookupって書いちゃった

パズルで時間使いすぎた挙句ちゃんと考え切れんかった上、そっから後ろ焦り通しオワタ＼(^o^)／

1 権威DNS、サブドメインを指定してるAレコードを消す

2-1 新たなドメイン名を契約した、台帳上は廃棄済になっている
2-2 NSLOOKUP
2-3 z x y
2-4 忘れた

3-1 ポートスキャンでアクセス可能なポートを調べる
3-2 サービス提供元に確認する
3-3継続 脆弱性対応判断→OSやSWのバージョンアップ
3-3廃棄 契約を終了させる

4-1 3.1
4-2 エ
4-3 悪用が確認されている脆弱性
4-4項1 時間足らず
4-4項2 CSIRTを作って調査し、情シ部に伝える

ZYX
オアクイキ
にしました。

YXは逆でも選択肢もgとfが合っていれば大丈夫かな

fは手順1に出てくる（gは出てこず）ので、逆だとたぶんダメですね。。そこのパズルで私もトチりました

ほんとだ、、、間違ってますね、、

>No41
Zからドメイン名が取れないからfがGIPになって、
それと紐付く手順3側をYにしないといけないっぽくない？

かぶった、失礼しました。
自分も、これ並列だからどっちでもいいのでは？ってしばらく迷って時間潰されました、、

KEVはウが正解みたいですね・・・
KEV（Known Exploited Vulnerabilities catalog）

KEVの条件

    Assigned CVE ID（CVE番号が割り振られていること）
    Active Exploitation（実際に攻撃が観測されていること/悪用されていること）
    Clear Remediation Guidance（明確な是正ガイダンスが公開されていること）

NECのサイトより参照

今年ほんとに難しい・・・

 自分は設問１の①って、「著名な会社がサブドメインを使った→その後そのサブドメインで海外の広告会社に使われた」ってことは、サブドメインを管理せずに手放した、という認識をしました。
 なので、サブドメインもしっかりと管理する的な内容を回答に記載したのですがどうなんですかねー？？？

設定変更内容を具体的にだから駄目だと思う
設定変更したサーバを権威DNSサーバって答えさせてるんだからそのDNSでどのような変更をするかを回答するべき
CDN利用していたからCNAMEとして登録していたFQDNを第3者が取得できちゃったことがポイントだし
CNAMEまで求められているのかよくわからなかったから普通にレコード削除までしか書かなかったけど

最初のところは、レコード削除とか色々方法ある気がして、そのドメインを利用できないようにするって書きました

問4爆死しましたがさらします

1 権威DNSサーバ
V社のWebサービスと同一オリジンの場合のみ認証する（日本語意味不明）

2-1 他社データセンターを契約して利用している場合
  レンタルサーバーを契約して利用してる場合
2-2 RARP（絶対違う）
2-3 yxz（終了）
2-4 イキウオク（さようなら）

3-1 情シ部が支払っているドメイン名の使用料から逆引きして調査する（的な）
3-2 G事業部からの引継ぎ内容を踏まえたK事業部への脆弱性へのパッチ適用状況のヒアリング（的な）
3-3継続 FQDNがsub1.v-sha-g.jpと同じ値のみ認証する(自信なし）
3-3廃棄 公開サービスを新しく切り替え、古いドメインを廃棄する（的な、自信なし）

4-1 2025（終了）
4-2 ア（終了）
4-3 複数の脆弱性に影響する脆弱性（終了）
4-4項1 脆弱性のニュースをもとにCVSSの深刻度とKEVカタログへの掲載有無に基づいて対応の優先度を決定する
4-4項2 対応の優先度も伝え、優先度が高いものは対応終了するまで対応状況を情シ部に報告する

オワオワリ

6割は取れているはず…

設問1
権威DNSサーバ
サブドメインを削除またはCNAMEレコードを削除
設問2
（1）a 他社データセンターを契約して利用している
      b レンタルサービスを契約して利用している
（2）DNS
（3）あZ いX うY
（4）dオ eア fイ gク hキ
設問3
（1）ポートスキャンを実行し、応答がある公開サービスを特定する
（2）バナーチェックで、使用しているソフトウェアをを確認する
（3）継続する・・・ソフトウェアをバージョンし、脆弱性を悪用した不正アクセスの有無を確認する
  継続しない・・・FQDNを解約し、DNSレコードを削除する
設問4
（1）4.0 ※vを漏らしました
（2）ア ※ウが正解ですね…
（3）実際に悪用が確認されている脆弱性
（4）最新化したIT資産管理台帳を基に、CVSS、KEV情報から対象の脆弱性を抽出する
  IT資産の重要度とCVSS、KEV情報から優先度を決定し、対象の部に連絡する

>>50
2025ニキが居てなんか安心した
皆の見てると多分違うんだろうけどｗ

>>No52
完全にCVEと勘違い 頭クルクルです

この投稿は投稿者により削除されました。(2025.04.20 22:47)

調査方法って結局何が正解だったんですか？わかる方自信ある方教えてー

v4.0って vがないと×？

v4.0でも大丈夫と思いますよ！そこらへんは広く取ってくれるはず！

3-1はssh接続試行、ブラウザでのアクセス
とか書いたけど、ポートスキャンの方が良かったわと反省してる。でもポートスキャンだけじゃWebのコンテンツまでは見れないしスマートじゃないなあという感じ

3-2は現物ある前提でIT資産管理ツールによる調査って書いといた

俺も答え知りたいな

調査はコピペ回答しちゃいました。

・オンアクセス型で調査漏れサーバを調査する
・IT資産管理台帳の”その他特記事項”を調査する

ポートスキャンって合法？

当たり前に合法

自分が管理する資産に対しては勿論合法
野良のWebサービスとかには止めようね

設問3の2は フィンガプリントのリモート調査 とか。

調査方法はドメインのホスティング会社に問い合わせする。ではないですかね

CVSS2025っしょ。楽勝。秒で書けた。

問4

設問1
権威DNSサーバ
CDNへのDNSレコードを削除する。

設問2
（1）
レンタルサーバを契約して利用している
データセンターを契約して利用している
（2）whois
（3）あ→Z い→X う→Y
（4）
d）オ
e）ア
f）イ
g）ク
h）キ

設問3
（1）Webブラウザから直接アクセスし応答を確認した。
（2）業務継承部門の台帳や記録を確認した。
（3）
継続利用する場合
バージョン確認と脆弱性診断を実施し、対策を講じる。
利用しない場合
即時公開停止し、DNSやGIP設定を削除する。

設問4
（1）4.0
（2）ウ
（3）実際に悪用が確認された脆弱性。
（4）
項番1
各拠点の脆弱性対応状況を情シス部が把握、記録できる仕組みを整備する。
項番2
IT資産台帳との照合結果を情シス部が定期確認する。

設問3（2）は、AMツールの活用や、ZサービスによるOSの特定の線なども考えましたが、無難な回答で部分点を狙うことにしました。

問2(4)
よく読むとd以外の検索キーワードは「～を指定して」となっているけれど、
dだけ「～を入力して」となっているので明確に入力内容を指定しているんですよね。
だからdは「V社」になると思います

大丈夫大丈夫
設問２の(3)や(4)なんて
失敗しても各１点くらいですよ
大事なのは記述ですよ、きっと。

とおもいたい。

この投稿は投稿者により削除されました。(2025.04.21 01:23)

CVSS2025仲間いてわろた。このバージョンって解答知ってて常識レベルなのか気になる。。覚えないとweb上の情報が最新版て分からないからとか？

自分はかろうじて業務で脆弱性情報調べたりするのでCVSSの最新バージョン知ってましたけど、実際今まだ3.0が広く使われていて4.0によるスコアリングって全然浸透してない印象です。
こんなニッチ？なとこが問われるんだ…とびびりました。

バージョン番号が重要な知識とは思えないのでアンケートなのではないかと…

3-3継続と3-3廃棄の回答が色々あって勉強になる。
下記回答したけど、的を外してしまった感が否めない…残念orz
3-3継続：ドロップキャッチされる前にV社製品のキャンペーンに再利用する
3-3廃棄：当該FQDNがサーチされた際に、後継のサービスにリダイレクトするように設定する

設問1
権威DNSサーバ
キャンペーン用に利用していたレコードの削除
設問2
(1)
a 他社データセンターを契約して利用している
b レンタルサービスを契約して利用している
(2)nslookup()
(3)ZXY
(4)オアイクキ
設問3
(1)当該FQDNに対してhttpとhttpsで接続試行する
(2)Zサービスから得られる応答メッセージ情報に基づいた調査
(3)
継続利用する場合:
利用OSやSWをアップデートし、GIPの部署名・担当者名情報を更新する
継続利用しない場合:
FQDNを廃止してGIPを返却し、台帳上で利用終了の旨を明記する
設問4
(1)v3
(2)エ
(3)実際に悪用が確認された脆弱性
(4)
1 CVSSの深刻度・KEVカタログを確認し、対応優先度を分類する
2 対応優先度の高いものはそれを明記して各部門に連絡する

記号問題って同じの２個書いたら、採点対象外とかあるのでしょうか? 2択がわからず、両方外すくらいなら、1つ当てようとして。。。

2(1)は順不同ですよね？
順番通りに書けば良かったのですが、時間がなく

採点対象外って失格ってこと？そりゃさすがにないでしょう。
点数もらえますかという意味ならここにいる中に採点者はいないのでわかりません。

4は文章を読み込む(他の文章と対応づける)のが面倒でしたね

設問３（１）について、自分は「サーバに直接接続し、起動中のサービスを確かめる」と回答しました。
理由
結果１のドメインの組織名⇒「V社」
表１項番１の（１）より、V社のドメイン名はV社データセンター、V社DMZなどにある公開IT資産に利用している旨の記載あり
また、項番２の（２）から、「他社のサービスを契約する場合、ドメイン名は各事業部が取得している」と読み取れる記載あり
⇒仮に結果１のサーバが他社のサービスを契約して使用しているならば、ドメインの組織名は「V社G事業部」となるはず
なのでこのサーバはV社データセンターまたはV社DMZ内にあるサーバであると推測しました。ということは、自社内で直接触れるはずなのでリモート接続（SSH）でなくとも、サーバに物理的に繋いでいろいろできるのではないかと考えました。

この回答、どうですかね...？

↑書き漏れありました。
表１の「ドメイン名及びIPアドレスの管理」部分です。

>過去問ェさん(No.79) 
表６の調査漏れのリスト＝公開IT資産一覧に未登録ということになります。
仮にV社内にあるとしたら表１「IT資産管理」の項番５(2)「事業部がV社内にサーバを設置する場合は〜〜情シ部が台帳に登録する」と矛盾します。
むしろ、項番５(3)「事業部が他社データセンター、〜〜台帳に登録していない」という運用だったため、他社に設置したサーバの登録が漏れたのでは無いでしょうか？
それから、この設問では具体的に答えよと言われているため、「サーバに直接接続して」だけだと具体性に欠けると思います。（どんな方法、プロトコルで接続して、その応答のどのデータを確認するのか、くらい書かないとダメなのかなと思います）

と言っておいて、私はそれほどリッチな回答は書いてませんが。。

あ...結果１よく見たらFQDNが情シ部管理のじゃない...
他社サービス利用のサーバですね。
すみません、自己解決しました泣

>ラップさん
ドメイン名に注目しすぎてその辺も完全に見落としてました...
ありがとうございます。

設問1は「悪用防止のためレコード再登録し管理する」のようなニュアンスのことを書いたのですが、みなさんのコメントと真逆でやっちまった感…。

同じようなことを別の設問でも書いた気がしてさらにやっちまった…。

やっちまった人さん
私もレコードの再登録って書いてしまった人です、、。

他社が、ドメインを悪用して自分達のサーバに接続させている事が判明したので、レコードは再登録やCAA登録するが正しいと思いましたがどうなんでしょう。少なくともレコード削除と書いたら悪用され放題になるかと思い止めました。ちなみに自分は｢ドメインを悪用されないような設定をする｣と書きました。

問1は典型的なサブドメインテイクオーバーの話で、CDNサービスを解約したのにDNSレコードをそのままにしておいたせいで、サブドメインのURLから無関係のサイトに繋がる名前解決をしてしまう、というものです。

CDNサービスを解約したならサブドメインの名前解決はもう不要ですから、不要なDNSレコードを削除するのが対処となります。

basyouさん
レコード削除が正しいのですね、ありがとうございます。悩んで回答を変えて間違うのは悔しいです。まだまだ勉強が足りませんでした。

問1の対処についてサブドメインのAレコードを削除と書いてしまったのですがAレコードだと不正解ですかね？(具体的にとあったのでおそらくで種類まで書いてしまった)

名無しさん

私自身、実業務などでCDNサービスの利用経験があるわけではないので机上の知識だけで恐縮ですが...。
詳しくご存じの方がいらっしゃれば是非ご教授をお願いしたいです。

一般的なのはCNAMEレコードのようです。
Aレコードの登録は静的なので、CDN側のサーバのIPアドレスが変わった場合に手動でレコードを変更する手間が発生するからだと思われます。

ただ、「サブドメインテイクオーバー」でGoogle検索した時にでてくるJPRSの解説ページではAレコードを削除する旨も書いてあったので、Aレコードで登録するケースもあるようです。

サービスプロバイダによるということでしょうから、○が貰えると信じたいですね。

basyouさん

ご回答ありがとうございます！しかも詳細に調べていただき助かります。
実務がないのでこういうところで弱さが出ると痛感しました…
自己採点は厳しめにつけると50点台なので○がつくことを信じたいと思います。

拙い質問ですみません
設問1
ですが
”キャンペーン時に使用していたCNAMEレコードの削除”
というのはわかりますが、CNAMEレコードが第三者に悪用される
（同一CNAMEで悪意あるサイトを開く）と考えると、
削除ではなく 無効化する がよいのではないかと思いますがいかがでしょうか？

無効化でも問題ないと思いますが、コメントアウトと捉えられるとそのDNSが乗っ取られたときに有効化されるなどすることを考えたら削除が確実なのではないかな～とか思ったりします。

CNAMEレコードはあるドメインから別のドメインにアクセスするか制御するものです。
そのCNAMEレコードが使用していないのに残存していることで攻撃者のドメインに誘導されるのです。

例えば正規のサーバがAドメインのアクセスをBドメインとしてアクセスするように権威DNSサーバに登録してたとします。（実際に利用者がサーバ側へアクセスするドメインはBとなる）
ここでBドメインを使用しなくなり、対応するサーバの停止を行ったとします。
（利用者がAドメインへアクセスするとBドメインにアクセスしてね。となるが、アクセスすべきBドメインのサーバがないのでエラー）
このCNAMEレコードが残存していると攻撃者がBドメインとして新しいアクセス先を作成すると、利用者がAドメインにアクセスすると攻撃者のBドメインが設定された攻撃者サーバにアクセスすることとなります。

そのため、CNAMEレコードの削除をして、Aドメインへのアクセス時に使用していないBドメインへ誘導されることをなくす必要があります。
なお、CNAMEレコードはドメインの所有権がある人しか設定できないので、削除すれば悪用されることはほぼないことと、使用したいないのに残しておく必要性は皆無なので削除が正しいかと思います。

Cenollaさん、午前余裕マンさん
返信ありがとうございます。
ここでは削除が良さそうですね。

もう一つ、、
CNAMEと同一のAレコードを攻撃者が登録して悪用するリスクは、ドメイン所有を放棄しない限りあり得ない、と理解しました。
DNSの仕組みの基本でしたね。
勉強になりました。

設問1ってCNAMEの解答をよく見るけど関係あるのかな？自社から繋げなくして自社の被害を防ぐ事が先決だから、レコードを消すだけじゃないのかな。
CNAMEの関連性がわかりません。

誰かがその捨てたサブドメイン取得して悪意のあるサイトを立ち上げたら、そこに誘導されてしまうおそれがあるので、まずいんじゃないですかね〜

V社が管理しているドメインだからNSレコードで権限委譲しない限り勝手にサブドメインは使えないと思われる