雑記

情報処理安全確保支援士試験(SC)午後Ⅱ問題(平成29年度春)を解いてみた

更新日:

https://www.nukolog.com/sc-29-s-gg1/

本日もNUKO@LOGをご覧いただきありがとうございます。NTARO(@nukolog2016)です。前回(↑)に引き続き、午後Ⅱも自己回答載せてみたいと思います。早く載せないと誰も見なさそうですし(時すでにお寿司感)

というわけでご挨拶もそこそこに解答いきます。ぼくが解いたのは問1です。

 

午後Ⅱ問題

午後Ⅱの問題は120分で2問中1問を回答する試験です。120分の時点でやる気の減少とめまいに襲われそうになりましたが、久々の午前問題の感触の良さに後押されて頑張って解答できました。(自己採点では午前Ⅰ、Ⅱは通ってそうです、ヒャッホー!)

例のごとく、まずはどんなもんだいかをチラ見してから問1、問2のどちらの問題を解くかを決めました。ざっと見ると問1、問2の両者とも図1に記載のネットワーク構成図はなんか似たような感じ。まったく専門外の出題ではない印象を受けました。

もう少し深く、そしてさらっと確認すると、問1では「不審通信発生によるインシデント発生、その解析と対応」、問2では「メールによるマルウェア感染、DNSとか弄ってる」という印象。問2でDNS周りの問いを軽く見て「ようわからんから問1にしよう」という消去法で問1を選択しました。

問1

[aside type=“boader”] 設問1.(1)ウ、エ[/aside]

電源をオフにすると消去されてしまう情報はなんですか?って問題です。

アのHDDのパーティションテーブルは、CドライブとかDドライブとかを分けるものだと思います。まぁ消えないと思ったので対象外。

イのOSのバージョン情報も消えるはずがないので対象外。

ウの画面に表示されているウィンドウ名称一覧はリブートすると消えてしまうので対象。

エの起動しているプロセス一覧も、リブートすると初期化されてしまうので対象。

オの脆弱性修正プログラムの適応状況は、ちょっと迷いましたが(再起動後有効になるのがあるのかなぁと)「適応状況が消える」わけではないと判断して対象外としました。

 

[aside type=“boader”] 設問1.(2)a:プロキシサーバ  b:DHCPサーバ[/aside]

[ a ] のログから、被疑サーバをあて先としたエントリを抽出し、送信元IPアドレスとアクセス時刻を洗い出した、とあるので宛先、送信元の情報を持っている機器だということが推測できます。FW1もクサいんですが、FW1はすべての送信元IPアドレスがプロキシサーバになってしまうと思い除外。プロキシサーバの説明(表1)を見ると、アクセスログなども保管しているため、aはプロキシサーバとしました。

bは、送信元IPアドレスとアクセス時刻を基に、[ b ]のログを検索し、アクセス時刻に送信元IPアドレスを使用していた不審PCのMACアドレスを特定した、とあったのでPC(MAC)とIPアドレスの紐づけ行っているDHCPサーバを選択しました。

[aside type=“boader”] 設問2.(1)(最後まで迷って適当なこと書いた気がする)[/aside]

てへ。

[aside type=“boader”] 設問2.(2)中継サーバ1[/aside]

 

[aside type=“boader”] 設問2.(3)(最後まで迷って適当なこと書いた気がする)[/aside]

てへ。

[aside type=“boader”] 設問3.(1)(知りまてん)[/aside]

てへ

[aside type=“boader”] 設問3.(2)マルウェア本体の実行開始時にウィルススキャンが実行されないとマルウェア本体のコードが検知されない為[/aside]

表現は不明ですが、言いたいことはこんな感じです。

[aside type=“boader”] 設問4.(1)プロキシサーバのブラックリスト[/aside]

表1の機能にホワイトリスト、ブラックリストが登録できることは記載されているのでコレを書きました。

[aside type=“boader”] 設問4.(2)ウィルススキャンの実施と脆弱性修正プログラムの最新化[/aside]

とりあえず出来そうなのはこれぐらいかなぁ。

[aside type=“boader”] 設問4.(3)パスワードの変更[/aside]

アカウント削除も考えたんですが、とりあえずパスワードの変更にしておきました。

[aside type=“boader”] 設問5.(1)被疑PCの脆弱性修正プログラムが最新化されていない[/aside]

解答の通りだと思います。たぶん。

[aside type=“boader”] 設問5.(2)パッチ配信サーバ[/aside]

パッチの適用状況を確認するにはパッチ配信サーバを見ればよろし。

[aside type=“boader”] 設問5.(3)Nページを閲覧したPCのうち、被疑サーバに通信を行っており、脆弱性修正プログラムが最新でない場合[/aside]

Q社(Nページ)へのアクセス、脆弱性修正プログラムの未更新が含まれていればよい気は…する?

[aside type=“boader”] 設問6.(1)(ディジタルフォレンジックス忘れました)[/aside]

てへ

[aside type=“boader”] 設問6.(2)被疑PC利用者への代替PCの準備[/aside]

検証期間が長そうなので代替PC欲しいかなって。

 

[aside type=“boader”] 設問6.(3)所定の時間にプログラム起動を行うOSのスケジューラ設定[/aside]

発見したプロセスは、一通りの処理を終えると自信のファイルの隠匿処理を行うとともに、自信を所定の時間経過後に起動するための設定をOSに対して組み込み~とあるのでそこを書いてみました。

  • この記事を書いた人

ドン氏

一児の父、30歳男児(”児”がポイント)。 そこそこの規模の会社に勤めるSEだけど、転職を目論みている。 副業、お小遣い稼ぎとしてブログを始める。どこまで発展出来るか実験中です。

-雑記
-

Copyright© NUKOLOG , 2018 All Rights Reserved Powered by AFFINGER4.

%d人のブロガーが「いいね」をつけました。