にしのクエスト2

情報処理技術者試験と資格学校講師の日常

f:id:koharuwest:20191106221322p:plain

令和元年度 勝手に解答速報 情報処理安全確保支援士 午後1

まずは令和はじめての試験お疲れ様でした!

情報処理安全確保支援士試験の勝手に解答速報をや
っていきます。


なお、あくまで解答は「個人の見解」です。木曜あ
たりには専門学校の解答例も出てきますし、そっち
の方が信用できます。


よって、個人の責任でご利用ください。間違ってい
ても、しゃーないです。そういうものです。あくま
で5chの解答晒しに近いものがあります。

そこのところを踏まえでご利用お願いいたします。


(現在:とりあえず解答終了 訂正の予定はなし)


※セキュアプログラミングなかったですね・・・。
※自信?たぶん、合格してるんじゃないレベルです。


情報処理安全確保支援士試験 午後1

問1 「電子メールのセキュリティ対策」

設問1 
空欄a MAIL FROM  
※これできなくて諦めませんでした?悩みました。

設問2 
(1)
空欄b x   cx   dx    ex
  f x   go   h x  i x 
※DNSにSPFレコード(ドメイン名・IPアド
レスなど)を書いておくと、相手から「こいつは大
丈夫」とわかる。
 受信側は宛名を参考に相手のDNSのSPFレコ
ードを調べる。OKなら受け取るし、そうじゃない
なら・・・

攻撃1は相手のDNSに正当な相手かを確認するの
で、外部メールサーバでの対応と取引先の設定がで
きてないとだめ。なので、全部×。

攻撃2はN社の外部DNSの設定がされていて。取
引先が対応できないとだめ。だからg以外×。


(2)
空欄j x1.y1.z1.1


(3)
失敗する理由SPFの仕組みを踏まえて50

envelope fromを書き換えない場合、転送したドメ
インではなく送信元のドメインを検証するから。
※SPFはあくまで差出人のメールアドレスのドメ
イン名を検証する。


(4)
正当性以外に確認できる事項20

メール本文とメールヘッダが改ざんされていないこ
と。
※ハッシュの役割ですね。


設問3
空欄
k mail.x-sha.co.jp
l x2.y2.z2.1
m quarantine
n r 
※よく読めばこうなると思います


設問4 
どのようになりすますと防ぐことができなくなるか
具体的に50


取引先のIPアドレスを詐称する行為。
※自信なし。このくらいしか思いつきません。IP
アドレスを詐称するのはなかなか困難ですが、いい
手あるんですかね。
※キャッシュポイズニングはやりすぎかな、と思っ
た。


問2 「セキュリティインシデント対応におけるサ
イバーセキュリティ情報の活用」

設問1 
(1)
通信が遮断された理由20

プロキシサーバで認証されなかったから。


(2)
適切な機器記号で


※ログ取ってるのはここだけだし、フィルタリング
ルール上ここ通るよね


(3)
情報持ち出しが成功した痕跡2つ30

・PC−Tに対する不正なユーザによる認証結果
・パブリックDNSサービスLに対するDNSプロ
 トコル通信のFWのログ
※グローバルIPアドレスMは遮断されていたんで
すよね。利用者IDとパスワードを窃取するのが目
的だからと思った。


(4)
ISACに伝えるべき情報を記号で2

イ ウ
※ファイル名は変更されるのでオキは不適。プライ
ベートIPは意味ある?エカ不適。日時はいらない
のでは? 


設問2
(1)
ソフトウエアのデジタル署名の検証


(2)
プロキシ認証情報の窃取に使用できない攻撃手法記号


※ゴールデンチケット知らないけど、消去法で。


(3)
変更すべきフィルタリングルール

  送信元  宛先       サービス  動作
3 全て   インターネット  DNS   拒否 
※インターネット上のDNSサーバを使えないように
する、とまずいか。おまけに拒否って

↓(直した)

  送信元  宛先       サービス  動作
3 DMZ  インターネット  DNS   許可 
※ここ以外拒否すればいい話だ。


(4)
空欄b c d それぞれ10字以内

b DNSサーバ
c リゾルバ
d 問い合わせ
※非問い合わせってありかどうかは疑問。自信なし。


(5)
空欄eに入れる適切な特徴を30字

同じドメインに対するDNSの問い合わせが大量に発
生する。
※情報を分割して運ぶのならこうかなあと。

 

問3「標的型攻撃への対応」
設問1
(1)
図2(2)の目的を25

メモリ内部の状態を保持するため。
※電源を保持する目的は活動している状態を維持する
ことにあります。


(2)
図2(3)J社にとって望ましくないものを2つ20

・外部のC&Cサーバと通信を行う。
・他の機器に感染を拡大する。
※一番最初に書いてありますね。


設問2
空欄
a ウ
b イ
c オ
d ア


設問3
(1)
eに入れる25

フィルタリングルールによって拒否された通信。
※本当は外部C&Cとの通信があったか?としたいが、
Pシステム検知してるだろと思って。


(2)
下線1検知できないのPCサーバどのような状態40

管理サーバにハッシュ値が登録されておらず、エージ
ェントプログラムがマルウエアの実行を禁止できない
状態。
※Rシステムと通信できない状態?とかも考えたけどこれが自然かなあ?


(3)
下線2マルウエアMに感染しているPCまたはサーバ
をRログを使って検知する方法30

マルウエアのハッシュ値でRログを検索する方法。
※書いてある通りだけど。


以上です。3がやさしめ?なので1−3か2−3の選択かなあ。2−3多そう。