読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ27春午後1問2 解答

広告

※この連載については「はじめに」で注意事項がございますので
 必ず読んでくださいね。

※設問はこちらから

 

 

設問1
(1)
「ログを確認する」(7)でいいんですが、30字なので8割
の24字は超えたい。FWが「許可した通信・拒否した通信と
もにログを取得」とあるので、

「FWが許可した通信のログ確認する。」(17)
足りない!

「FWが許可した当該C&Cサーバへの通信ログを確認する。」
(24)


(2)
表1をみましょう。
送信元IPアドレスになりうるのはデフォルトゲートウエイで
す。

a 「FW」


ネットを経由する、そしてIDパスの認証機能があるのは。

b 「プロキシサーバ」


機器につくもの。資産管理サーバに保存されている情報といえ
ば。

c 「MACアドレス」


設問2
(1)
FWで記録されるのは通信を許可したか、しないものに限られ
ます。この場合は「マルウエアがそれ(FWの許可不許可)す
らできないのはなぜか」と聞いています。

マルウエアの特徴、図4にはFQDNでC&Cサーバにアクセ
スしようとしています。FQDNではDNSを挟まなければ名
前解決ができず、FWを経由して外部にアクセスできません。

よって、
「マルウエアはFQDNでアクセスを行うため、名前解決を行
えないから。」(34)


(2)
上の問題でも問われましたが、図4には認証情報を奪ってプロ
キシサーバ経由でアクセスするケースも書かれています。この
場合はDNSで名前解決しちゃいますからこれを防がなければ
なりません。どうすればいいか。FQDNでのアクセスを防止
するにはフィルタリングです。

やっているのはプロキシサーバ。すなわち。


「プロキシサーバのブラックリストにC&CサーバのFQDN
を登録する。」(34)


設問3
(1)
下線の後ろ、図5の下。追加調査2として・・・を読みます。

追加調査の目的は攻撃者の指示でファイルサーバを経由し、
マルウエアがばら撒かれていないか心配だ。という調査ですよ
ね。結果は大丈夫だったのですけど。

よって、そのように書いていきましょう。語尾は「・・・とい
う攻撃。」(6)です。


「攻撃者の指示により、マルウエアをファイルサーバ経由で拡
散させる攻撃。」(34)
長い。

「マルウエアをファイルサーバ経由で拡散させる攻撃。」
(24)


(2)
追加調査3を読みましょう。
ファイル配信サーバを除く、NTP、DHCP、プロキシにVさんP
Cからのアクセスがあったと。

被害はなかったんだけど、サーバを停止しない範囲で有効な対策
をしたいと。3台ともに。

3台ともに・・・っていうのがよくわかりません。

マルウエアの特性から考えると、プロキシの利用者情報を奪取し
て通信を試みようとする問題を解決したいので、プロキシで・・
・といわれたら「VさんのIDを無効化する。」でいいと思うん
だけど。NTPやDHCPにまで効果が及ぶかなあ。

と、考えると・・・うーん。

悩んで問題文を読み返すと、上の方に発見。「Vさんの利用者I
Dでの操作は全てさんの指示・・・」ってえことは。やっぱり、


「Vさんの利用者IDを無効化する。」(16)
でいいかなっ。


(3)
ログの改ざんの痕跡はログを比較することで解決しますね。
「3台のサーバに保存されているログとログ管理サーバに保存さ
れているログをそれぞれ比較する。」(44)
長過ぎる。

「各サーバのログとログ管理サーバのログをそれぞれ比較する。」
(28)

次は「答え合わせ」しまっす!

にしのくえすと Presented by にしの 2017