やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問1設問1】

この問題のテーマは「マルウェア感染と対策」

無線LANの脆弱性
攻撃手法と脆弱性を理解する能力
対応を立案し、効果を評価する能力

設問1

f:id:aolaniengineer:20190928125059p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問1に関連する問題文その1

f:id:aolaniengineer:20190928125142p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問1に関連する問題文その2

f:id:aolaniengineer:20190928125503p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問1に関連する問題文その3

f:id:aolaniengineer:20190928130016p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問1に関連する問題文その4

f:id:aolaniengineer:20190928130105p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問1

 該当箇所は、「P君は、表3の情報の真偽を確かめるために、まず(a)のログを確認してN社から当該情報が発信されていたとの確証を得た後、通信を開始した端末を特定するために(b)のログを確認した。」です。

 自分がP君になったつもりで、まず最初に確認することは何かを想像しましょう。

 どれが正解かはその状況により変わってきますが、問題文にはその状況における最も相応しいと思われる行動が記載されていますので、模擬訓練として経験値を高めるつもりで取り組むといいと思います。

 社内からインターネットへの通信を確認するには、ファイアウォールやプロキシサーバなどのログから確認すると思いますが、問題文ではどのように行動しているでしょうか。

 まずは表3(提供された情報)を確認します。

送信元IPアドレスは注記にあるようにプロキシサーバです。そこからC&Cサーバにポート番号:443(HTTPS)でアクセスされています。  

 この情報からプロキシサーバとC&Cサーバがあるインターネットへの通信に関して問題文を見ていくと以下のことが分かります。

図1から、N社からインターネットにはFW1、FW2を経由する。
本文に「プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。」の説明
表1から、FW1では送信元がプロキシサーバ、宛先がインターネット、サービスがHTTP、HTTPS、FTPの通信が許可され、ログ取得される。
表2から、FW2では送信元が内部IP、宛先がプロキシサーバ、サービスが代替HTTPの通信が許可され、ログ取得される。
本文に「FW1とFW2は、ステートフルパケットインスペクション型である」の説明

 これらの情報から考えると、(a)については、N社から当該情報が発信されていたことを確認するには、インターネットの接続点であるFW1のログを確認することだと分かります。

 (b)については、通信を開始した端末を特定するには、プロキシサーバ向けの通信としてFW1やFW2のログを確認する方法も考えられますが、プロキシサーバ自身のログを確認するのが一番効率的かと思われます。

 正解は以下の通りです。

 a:「FW1

 b:「プロキシサーバ