やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問1設問2】

この問題のテーマは「マルウェア感染と対策」

無線LANの脆弱性
攻撃手法と脆弱性を理解する能力
対応を立案し、効果を評価する能力

設問2

f:id:aolaniengineer:20190929053702p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問2に関連する問題文

f:id:aolaniengineer:20190929053810p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問1設問2

 該当箇所は、「コピーは①ファイル単位ではなくセクタ単位で全セクタを対象とした。」です。

 HDDのセクタというのは、円盤状の記録媒体における最小の記録単位のことです。

 HDD上のファイルは、画面操作でファイルを削除したりするだけでは完全に消去されません。目次に相当するインデックスが削除されるだけです。

 HDDのコピーにおいては、ファイル単位で実施する場合は最新のファイルのみが対象であり、古いバージョンや削除されたファイルはコピーされません。

 一方、セクタ単位で実施する場合は更新前の古いバージョンのファイルや、削除されたファイルなどHDDに残っている全データが対象となります。

 マルウェアは感染した痕跡を消すために、感染した自分自身のファイルや関連したファイルを削除することがあります。

 セクタ単位でコピーすることでこれらのファイルを復元させ、マルウェア感染の調査に役立つ情報を得ることができます。

 したがって、正解は以下の通りです。

 内容「削除されたファイルの内容

 手段「空きセクタの情報からファイルを復元する

証拠保全の方法について理解する

 採点講評に以下のように記載されています。

マルウェアは、発見されないように自らの動作や存在の痕跡を消去することが多い。消去されたファイルも、セキュリティインシデントにおいて、大きな手掛かりとなることが多いので、証拠保全の方法について理解しておいてほしい

 本問題のように、マルウェア感染したPCのHDDは、ファイル単位ではなくセクタ単位で全セクタを対象にコピーするということを認識しましょう。