午後Ⅱ解説
問1
設問1(1)
わたしの回答:(○)
ウ、エ
理由:
あまりセキュリティならではの問題でないと思うのでざっくり言ってしまうと、PCをシャットダウン・再起動しても同じ情報が見れるアイオは消去法で消せたため。
設問1(2)a
わたしの回答:(○)
プロキシサーバ
理由:
表1プロキシサーバ「社外のWebサーバへのアクセスを中継する」と書かれていて、アクセスログを取得していると書かれているため。他に悩むとしたら許可ログ・遮断ログも取得しているFW1になるが、プロキシサーバを通らないとFW1に到達できないため選択肢から外れる。
設問1(2)b
わたしの回答:(×)
FW1
模範解答:
DHCPサーバ
解答解説:
表3の順序1「送信元IPアドレスを使用していた不審PCのMACアドレスを特定した」と書かれているため、PCのIPアドレスとMACアドレスをセットで知っているのはDHCPサーバだけになる。 DHCPサーバとは・・・IPアドレスを自動で振り分けてくれるサーバでDHCPサーバ内には払い出したIPアドレスとMACアドレスのセットを保持している。
設問2(1)
わたしの回答:(○)
被疑サーバのFQDN
理由:
サーバ証明書は、通信相手のサーバが怪しいサーバでないことを証明するものなので、被疑サーバがわたし怪しいものじゃないです!ということを証明したいために第三者機関に発行してもらうものである。なので、サーバを証明する「サーバ証明書」なのでいずれかのサーバを回答に書かないとおかしくて、更に通信相手のサーバ(いまは被疑サーバ)が回答になります。
設問2(2)
わたしの回答:(○)
中継サーバ1
理由:
図6(2)「被疑PCと中継サーバ1間の通信路が確立する」と書いてあるため
設問2(3)
わたしの回答:(×)
ホワイトリストに被疑サーバのFQDNを設定する
理由;
ホワイトリスト/ブラックリストを使っていると書かれていたので、ホワイトリストに設定しないと被疑サーバへの通信は遮断されてしまうのかなと思った。 しかし、ここにこう書いてあるから絶対これが答えでしょ!と思って書いたわけではなかった。自分の知識の範囲で根拠もなく答えてしまっている時は大体間違ってますよね・・・。
模範解答:
被疑サーバへのHTTPS接続要求を、中継サーバ1に到達するようにする。
解説:
「解析環境を正常に動作させるために」「解析用プロキシサーバ上で特別な設定」を聞かれている。
考えべきと思っているポイント①:
「具体的に」という言葉が書かれていないこと。設定内容を聞かれる問題はよく「具体的に」の指定がされて「どこどこサーバの何に何々を設定する」みたいな回答があるあるパターンである。でもこの問題は「具体的に」がないので、意図して具体的じゃない回答をしないといけないことになる。
考えべきと思っているポイント②:
回答するために一度も使っていない図や表がないかを確認する!わたしは設問を読んだ瞬間、設問箇所よりずっと離れた表1に書かれていることを回答に書いてしまいました。今考え直すと、まずは設問前後に回答するために使っていない情報がないかどうかをチェックすべきだったなと思います。そう考えると表4も図6(設問2(2)で使った)もあまり使っていないため、この辺りに答えになりそうなことが書かれていないか考えるのは有効だと思います。
考えべきと思っているポイント③:解析用プロキシサーバで宛先IPアドレスを被疑サーバから中継サーバ1に変更しないと、宛先IPアドレスが被疑サーバのままだと解析用プロキシサーバから直接被疑サーバに通信がいってしまいHTTPS通信ができない
設問3(1)
わたしの回答:(×)
プログラム内にデバッグ時に通るルートを作り、デバッグ中とわかる情報を出力する
模範解答:
実行中プロセスの一覧から既知のデバッガのプロセス名を探す
設問3(2)
わたしの回答:(×)
状態を変えながら実行されるため、ウィルス定義ファイルとのパターンマッチングで検知できないため
理由:
ウィルス定義ファイルによるウィルススキャンとは・・・ウィルス定義ファイルにウィルスデータのパターンが載っていてスキャンしたいデータと比較していく。 図7と図8を見るとマルウェアの状態が変化しながら動作するため、ウィルス定義ファイルに定義されているウィルスパターンと比較しても一致しずらいと考えた。模範解答をみると多少の部分点はもらえるかも・・・とは思ったがどうでしょう。
模範解答:
暗号鍵を変えてパック処理すると暗号化済みコード部が変化し、ウィルス定義ファイルに登録されていないファイルとなるから
解説:
ロードされた時点ではマルウェア本体は暗号化され、暗号化済みコード部に置かれている。そして暗号化済みコード部の内容は、暗号化する際の暗号鍵によって変化するためウィルス定義ファイルに登録されていないパターンになってしまい検知がしずらくなる。ということになる。
設問4(1)
わたしの回答:(○)
プロキシサーバのブラックリスト
理由:
省略
設問4(2)
わたしの回答:(△)
脆弱性修正プログラムを適用する
模範解答:
脆弱性Kに対応した脆弱性修正プログラムを適用する
解説:
主語が足りなかった・・・。「主語は必ず書くべし」ということは当サイトでひつこく書いているのに、書いてるわたし自身が実践できていない・・・。
設問4(3)
わたしの回答:(×?)
アカウントの利用停止
理由:
再度攻撃に利用されないように停止すれば良いと思った
模範解答:
パスワードの変更
解答解説:
・表5「被疑PC内にキャッシュされていた認証情報・・・」
・被疑PC内に一時的に保存された認証情報(利用者IDと、パスワードのハッシュ値を含む)
と書かれていることから、ハッシュ値がキャッシュされており、キャッシュからハッシュ値が知られたらログインに使われてしまうため。ということらしいけど、利用停止は業務を継続させる必要があるということでNGなのかな・・・?
設問5(1)
わたしの回答:(△)
脆弱性修正プログラムの適用状況
理由:
既知のマルウェアが存在していて、被疑PCには修正プログラムが適用されていなかったから感染してしまって、比較対象用PCは修正プログラムが適用済みだから感染していないと考えられる。
模範解答:
PDF閲覧ソフトの脆弱性修正プログラムの適用状況
主語が足りなかった・・・ここはとても重要なポイントだと思ったので記事に起こしました。
※あとで記事リンク貼る
設問5(2)
わたしの回答:(○)
パッチ配信サーバ
理由:
表1パッチ配信サーバ「各PCの脆弱性修正プログラム適用結果」をログに取得していると書かれているため、パッチ配信サーバのログをみれば適用されていたかどうかがわかる。
設問5(3)
わたしの回答:()
脆弱性修正プログラムが公表される前に、不審なサイトにアクセスしていた場合
理由:
「プログラム適用されていたら、未公表のサイト以外はアクセスしても感染しない」という考え方をもとにそのまま書いた
模範解答:
PDF閲覧ソフトの脆弱性修正プログラムを適用する以前に、Q社のWebサイトを閲覧した場合
設問6(1)
わたしの回答:(×)
修正プログラムを適用する
理由:
デジタルフォレンジックスとは、裁判などになった際に使うために証拠を残しておきましょう。
模範解答:
被疑PCのHDDの複製作業
解説:
M君は「HDDの複製」を行っていると書かれている。この記載を見つけられていて(マーキング)できていて、HDDを複製しておけば証拠になる!と思えた人は正解が書けたと思います。 あとここでの注意は「被疑PCの」という主語を忘れずに書いてください!ということです。これを書かなかったら半分しか点数がもらえないと思った方が良いので必ず主語が抜けていないか要チェックや!です。
設問6(2)
わたしの回答:(〇)
利用者が使用する被疑PCの代わりになるPCを用意する
模範解答:
被疑PCの解析中に使用する代替PCの払出し
設問6(3)
わたしの回答:(×)
脆弱性修正プログラムの適用状況
理由:
何を書けば良いのかよくわからなかったので、ダメ元で脆弱性修正プログラムについて書いておきました。 模範解答をみて思ったのは、最初問題文を読んだときのマーキングでP8下方の「一通りの~判明した。」箇所をバッチリマーキングしていたのに回答には書けなかった。さんざん過去問演習をやってきてマーキング力もあがってチェックできているのに回答に書けなかったら何も意味ないなと反省しました。。当サイトに色々と書いていますが本番ですべてを実践するって簡単じゃないですよね(^^;
模範解答:
PC起動時や所定の時刻などに特定のプログラムを自動的に起動する設定内容
解説:
まず、「今回のマルウェアL」と同じ内容のマルウェアが来た際に、どうすれば次こそ検知できるのかを聞かれている。自分の回答の「脆弱性修正プログラムの適用」はマルウェア検知のネタとして使えるものではないので全然違う。
次に、「今回のマルウェアL」の特徴をおさらいする必要がある。
①ひと通りの処理を終えると終了する
②自身のファイルの隠ぺいを行う
③所定の時間経過後に起動するための設定をOSに組み込む
つぎに「図3の4.解析チェックリスト」と比較して、いずれかの特徴を利用して検知できないかを考える。
①②:図3「解析チェックリスト」では発見できないことがある
③ :「OSに組み込んだ設定を削除する」とは書いていないため、③を利用して検知できそうだ。