The Journey to Stars〜未知への探求〜

好奇心の赴くままに。学んだことを中心に書いています。

<セキュリティ>情報処理安全確保支援士〜午後一オリジナル一問一答(平成28年〜令和3年まで)

f:id:yamaiririy:20210814161115p:plain

 

 

こんにちはririです。

セキスペ の勉強中なのですが、せっかくなら

午後問題の間違えたところを一問一答形式で保存しておきたい・・・

と思いメモしておきます。(随時更新予定)

 

注意:

・問題は過去問そのものではなく、一部変更しています。その点ご留意下さい。

・問題から一部抜粋しているため、以下の問題文だけでは答えがわからない場合があります。

・問題番号は試験通りではありません。

 

 

 

 

平成28年春問2:DNS上の機器の情報セキュリティ対策

Q1

空欄を埋めなさい。

 

U社の外部メールサーバでは

・迷惑メールの送信に悪用される<a>を防止するために、メールエンベロープの宛先のメールアドレスのドメイン名がU社以外のメールを拒否

・<b>認証技術の1つであるSPFによってFailと判定されたメールを拒否

している。

 

 

A1

aーオープンリレー

bー送信ドメイン

 

Q2

空欄を埋めなさい。

 

プロキシサーバのDNSキャッシュ機能について、名前問い合わせパケットの<d>のランダム化の設定の有無を調べ、適切に設定されていることを確認した。

 

A2

送信元ポート番号

 

参考⬇︎

問い合わせ送信時のポート番号をランダムに変化させ、応答が到達するポート番号を一致させにくくする
– 一致しなければ、偽の応答の注入は成立しない

JPRES「キャッシュポイズニング攻撃対策」p14参照

https://jprs.jp/tech/security/2014-04-30-poisoning-countermeasure-resolver-1.pdf

 

Q3

次のようなDNSキャッシュポイズニング攻撃を受けるとメールの配送に影響が生じる。

その影響を40字以内で述べよ。

f:id:yamaiririy:20210815103225p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後一 問2

 

 

A3

取引先宛てのメールを、攻撃者が用意したメールサーバに転送してしまう

 

※U社の内部から取引先にメールを送るときの経路は

内部メールサーバ→外部メールサーバ(DNSキャッシュのMXレコードを参照)→取引先メールサーバ

となる。

外部メールサーバがDNSキャッシュのMXレコードを参照した時に、誤った宛先を設定してしまう。

 

Q4

HTTP over TLS通信ではURLフィルタリングがホスト単位となる理由は、CONNTCTメソッドのどのような仕様からか。20字以内で具体的に述べよ。

 

A4

パス名を送信しないという仕様

 

ホスト名とパス名について詳しく⬇︎

hpzeroguide.web.fc2.com

 

Q5

外部メールサーバで複合機からのメールを制限したい。

どのように設定を変更すれば良いか。変更箇所を10字以内で答えよ。

また変更内容を、30字以内で具体的に述べよ。

複合機からのメールは通常内部メールサーバに送られる

 

 

U社で仕様しているメールアドレス⬇︎

f:id:yamaiririy:20210815104433p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後一 問2

外部メールサーバの概要⬇︎

 

f:id:yamaiririy:20210815104354p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後一 問2

 

 

A5

変更箇所:ブラックリスト3

変更内容:scanner@u-sha.co.jpを登録する。

 

 

平成28年春問3:スマートフォンアプリケーションの試験

Q1

S社は新たにショッピングサイト(Sサイト)と専用のアプリケーション(Sアプリ)から構成されるSシステムを立ち上げ、Sアプリでのサーバ証明書の検証試験を行うことにした。以下の試験を行ったとき、Sアプリがサーバ認証エラー画面を表示するとき、<c>を埋めよ。

f:id:yamaiririy:20210824234719p:plain

出典:平成28年 春期 情報処理安全確保支援士 午後一 問3

 

A1

試験の実施よりも前の日時

 

Q2

攻撃者が以下の環境を用意した時、Sアプリの利用者がW-APに接続すると、中間者攻撃が成立する。

攻撃者がW-APの設定をどのように細工すると公衆無線LANの利用者のスマートフォンを自動的に用意したW-APに接続させることができてしまうか。45字以内で答えよ。

f:id:yamaiririy:20210824235234p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後一 問3

 

A2

SSID、暗号化方式、事前共有鍵に、公衆無線LANで使用されているものを設定する。



 

平成28年秋問1:組み込み機器を利用したシステム

Q1

空欄を埋めよ。

f:id:yamaiririy:20210825232738p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問1


A1

a...トンネル

b...アグレッシブ

 

IKEについて⬇︎

・IKEv2の方がシンプル

IKE (Internet Key Exchange) とは盗聴リスクのあるネットワーク上で暗号化のための共通鍵を交換するためプロトコルスイートです

https://milestone-of-se.nesuke.com/nw-basic/ipsec/ike-v1-v2-comparison/

IKEv1 で動的 IP かつ事前共有鍵認証を使う場合はアグレッシブモードを使います。アグレッシブモードでは最初のパケット交換で ID を平文で提示します。

なお、後述しますが、IKEv2 ではモードの概念は廃止されました。また、暗号化には PreShared Key を使うことをやめたため、ID も自由に設定できます。つまり、動的 IP であっても問題無く動作します。

https://milestone-of-se.nesuke.com/nw-basic/ipsec/ike-v1-v2-comparison/

 

Q2

LTEルータのSSHログイン認証をパスワード強度に依存しない方法に変更した。その設定変更内容を30字で述べよ。

 

A2

パスワード認証を無効化し、公開鍵認証を利用する。

 

Q3

LTEルータには監視端末からだけアクセスできるよう、制限をしたい。eに当てはまる言葉を30字以内で述べよ。

f:id:yamaiririy:20210825234650p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問1

 

A3

送信元のIPアドレスを監視端末のIPアドレスに限定

 

 

Q4

以下の脆弱性を悪用する攻撃手法にはどのようなものをが考えられるか。20字以内で述べよ。

f:id:yamaiririy:20210826003122p:plain

出典:平成28年度 春期 情報処理安全確保支援士 午後一 問1

 

A4

中間者攻撃による通信内容の盗聴

 

実際のニュース⬇︎

例えば、BroadcomSDKに見つかった証明書は、Linksysなど複数のメーカー製のデバイス48万台あまりのファームウェアに使われていたとSEC Consultは報告している。

 この脆弱性を悪用された場合、中間者攻撃を仕掛けられて暗号を解読され、管理者用のログイン情報など重要な情報が流出する恐れもある。流出した情報は別の攻撃にも利用されかねない

多数メーカーの組み込み機器に同一の秘密鍵、盗聴攻撃の恐れ - ITmedia エンタープライズ

 

Q5

LTEルータは新たな脆弱性が発見された場合、ファームウェアを更新する必要がある。

そのイメージファイルを暗号化したとしても、以下のようなリスクがある。

以下の場合において攻撃者はどのように復号のための鍵を入手するか。

35字以内で述べよ。

f:id:yamaiririy:20210826003752p:plain

出典:平成28年度 秋期 情報処理安全確保支援士 午後一 問1

A5

LTEルータにログインしてファイルシステムの中から見つける。

 

イメージファイル復号の為の鍵は、暗号化されたイメージファイルを復号してファームウェア適用に使用するLTEルータにあるため、そもそもLTEルータに侵入されて復号の為の鍵を見つけ出されるというリスクが残ります。

情報処理安全確保支援士 過去問解説 ブログ: [平成28年度秋] 午後1 問1 解説

 

平成28年秋問3

Q1

プログラム名を指定する方法とハッシュ値を指定する方法の両方でプログラム起動禁止設定を行ったとしても、攻撃用プログラムの起動を防ぎきれない場合がある。それは、どのような攻撃用プログラムの場合か。30字以内で具体的に述べよ。

 

 

A1

プログラムの内容を変え、かつプログラム名を変える場合

 

 

Q2

プロキシ認証に対応したマルウェアも存在する。

そのようなマルウェアはどのようにして、認証を成功させるか。

 

 

A2

Webブラウザからプロキシサーバへの通信を盗聴して認証情報を取得し、

プロキシサーバに送信する。

 

参考情報

平成28年度秋期試験 午後Ⅰ問題 問3が解説されています⬇︎

thinkit.co.jp

 

 

平成29年春問1:セキュリティインシデント対応

Q1

以下のような設定にすることはどのような攻撃への対策になるか。

 

f:id:yamaiririy:20210816105040p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後一 問1

 

A1

中間者攻撃

 

参考情報

aolaniengineer.com

aolaniengineer.com

 

qiita.com

 

 

平成29年春問3:セキュリティインシデント対応

Q1

F社ではクラウドサービスを利用している。クラウドサービスにF社以外からのアクセスがあったことを特定するためにはどのようなログイン記録を抽出すれば良いか。35字以内で述べよ。

f:id:yamaiririy:20210816162151p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後一 問3

A1

接続元IPアドレスがF社のグローバルIPアドレスではないこと

 

 

 

Q2

以下の図で、処理2の<g>に入る言葉を埋めよ。

f:id:yamaiririy:20210816162609p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後一 問3

f:id:yamaiririy:20210816162717p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後一 問3

A2(実際は選択肢あり)

クエリ文字列

WebブラウザがWebサーバに対して送信したいデータは、URLの末尾に特定の形式で表記します。

SAMLの認証連携の仕組み【平成29年度 春期 情報処理安全確保支援士試験 午後1 問3 設問2】 | やさしいネットワークとセキュリティ

 

SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、異なるセキュリティドメイン間で、認証情報を連携するためのXMLベースの標準仕様です。

SAML認証ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ

 

Q3

SPとIdpが直接通信できないにも関わらず認証情報の連携が成立するのはなぜか。

35字以内でのべよ。

 

A3

認証に関する情報を利用者端末のWebブラウザが連携するから。

Q4

再発防止のため、C主任は以下の対策を行った。

社外からグループウェアサービスにアクセスするとログインに失敗する理由を35字以内で述べよ。

f:id:yamaiririy:20210816164111p:plain

出典:平成29年度 春期 情報処理安全確保支援士 午後一 問3

 

A4

クラウドサービス側で接続元IPアドレスの制限が行われているから

 

参考情報

IdPとは | OSSのデージーネット

平成29年秋問1

Q1

ある日B社でマルウェア感染が発生した。

受信したメールの<b>フィールドを調べたところ差出人がB社社員ではなく、

社外から送信されていることがわかった。

 

 

A1

Received

Receivedはメールが、どういった経路をたどって送信してきたかを表しています

メールヘッダからわかること、確認・解析方法を紹介 | ベアメールブログ

 

 

Q2

マルウェアを除去した上でバックアップからファイルを復元する時は、

<a>と<b>を比較してバックアップデータを選択する。

※B社では、ジョブのログとして、バックアップの開始と終了の時刻、総ファイル数、ジョブ実行結果などが記録されている。

 

A2 ※実際は<b>にあたる部分だけを答える

感染開始時刻

バックアップの終了時刻

※バックアップ中に感染することも考え、バックアップの開始時刻ではなく終了時刻と比較する

 

Q3

B社ではPCにログインすると自動的に情報共有サーバ(Gサーバ)と

販売及び在庫管理用のWindowsサーバ(Dサーバ)にログオンし、

サーバ上の共有フォルダがPCに割り当てられる。

また今回感染したランサムウェアXは以下の特徴を持つ。

f:id:yamaiririy:20210814184908p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後一 問1

 

Dサーバ上のファイルが暗号化された原因となる、

営業用PCの設定とランサムウェアXの特徴

をそれぞれ35字以内で述べよ。

 

A3

営業用PCの設定

ーDサーバ上の共有フォルダをネットワークドライブとして割り当てる

 

ランサムウェアXの特徴

ーネットワークドライブ上のファイルも暗号化の対象となる

 

“Locky”などの新しい種類のランサムウェアは、感染時にコンピュータに接続されたファイルサーバーやリムーバブルドライブなどの共有ネットワークドライブを暗号化するように設計されています。 共有ファイルの暗号化は、組織の最悪のシナリオです。ネットワーク上の一人の従業員がランサムウェアを実行するだけで、会社全体に影響を及ぼすのことになります。

https://www.cybereason.co.jp/blog/ransomware/813/ 

Q4

ランサムウェアから復元する方法をセキュリティ専門会社U社のJ氏に聞いたところ以下の回答があった。検体を解析してもファイルの複合が困難である理由は何か。

f:id:yamaiririy:20210814185609p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後一 問1

 

A4

復号に必要な共通鍵や秘密鍵が検体に含まれていないため

※公開鍵のペアである秘密鍵が検体に含まれていれば公開鍵を復号できる

 

Q5

シャットダウンしてしまうと、暗号化されたファイルの復号が難しくなる理由を30字以内で述べよ。

 

A5

PC上で一時的に作成されたメモリ上の共通鍵が消えてしまうため

 

Q6

管理者権限も窃取するマルウェアに感染した場合どのような被害が考えられるか。40字以内で述べよ。

※B社ではGサーバ上の共有フォルダの利用者データ、各PCの利用者データは、コンピュータ上のローカルディスクに一般利用者権限ではアクセスできない領域に保存される

 

A6

共有フォルダのバックアップデータも暗号化されてしまい復元できなくなる。

  

 

平成29年秋問3:SSL/TLSを用いたサーバの認証と運用

Q1

以下の空欄を埋めよ。

f:id:yamaiririy:20210818230714p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後一 問3

 

f:id:yamaiririy:20210818230802p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後一 問3

 

 

A1(試験では選択式)

a.ディジタル署名

b.共通鍵暗号

c.鍵交換

d.EV証明書

 

www.ssl.ph

 

Q2

鍵が漏洩した時に、利用者に自身の被害の可能性を判断できるように公表すべき理由をそれぞれ20字であげよ。

 

A2

・鍵が危たい化したサイトのFQDN

・鍵が危たい化したと思われる時刻

 

Q3

鍵が危殆化した場合に備えてC社では対策手順を定めた。eに当てはまる言葉を答えよ。

f:id:yamaiririy:20210818231339p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後一 問3

 

A3

e.鍵ペア

 

Q4

PFSに該当する鍵交換技術を以下から全て選べ。

f:id:yamaiririy:20210818231602p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後一 問3

 

A4

ウ、オ

※Perfect Forward Secrit

公開鍵暗号秘密鍵が漏洩・危殆化しても、暗号文は復号できないように、

暗号鍵の元となる情報を破棄する方式

要件を満たす鍵暗号アルゴリズムは、DHE、ECDHE

 

Q5

妥当でないと指摘した理由を40文字以内で述べよ。

 

※C社は、事業拡大のために独自のドメインを取得し、C社専用のECサイトを立ち上げた

f:id:yamaiririy:20210818232345p:plain

出典:平成29年度 秋期 情報処理安全確保支援士 午後一 問3

A5

ドメイン認証証明書では、サーバの運営者がC社であることを確認できないから。

www.websecurity.digicert.com

 

 

平成30年春問2:情報セキュリティ対策の強化

Q1

DNSサーバで行うべき対策の<e>を30字以内で埋めよ。

f:id:yamaiririy:20210819091120p:plain

出典:平成30年度 春期 情報処理安全確保支援士 午後一 問2

 

A1

インターネット上のドメイン名についての名前解決

 

 

Q2

これにより生じる問題を40字で2つあげよ。

※x1.y1.z1.4は外部メールサーバののIPアドレスである

※T社では通常外部にメールを送信する時は、Webメールサーバから外部メールサーバを経由してメールを送信する設定にしている

f:id:yamaiririy:20210819091418p:plain

出典:平成30年度 春期 情報処理安全確保支援士 午後一 問2

 

f:id:yamaiririy:20210819092318p:plain

出典:平成30年度 春期 情報処理安全確保支援士 午後一 問2

A2

・インターネットへのメール送信を許可されていない従業員が、送信できるという問題

・送信者メールアドレスを詐称したメールを送信できるという問題

マルウェアのスキャンを行わずにメールを送信できるという問題

(うち2つ)

業務を阻害しない範囲でCONNECTメソッドの通信を制限することで、バックドアの遮断につなげることができる。

https://www.ipa.go.jp/files/000037456.pdf

atmarkit.itmedia.co.jp

平成30年春問3

Q1

「JIS Q 31000:2010及びJIS Q 31000:2012ではリスクアセスメントは、

<a>、リスク分析、<b>の3つのプロセスの順に進めると定義されてます。」

a、bに入る言葉は何か?(試験では選択式)

 

 

A1

a=リスク特定

b=リスク評価

 

Q2

事務 PCからファイルをファイル転送サーバにファイルをアップロードするには

利用者ID

パスワード

アップロード用URL

の情報が必要である。

事務PCに感染したマルウェアβが上記の情報をまとめて窃取する方法を30字以内で述べよ。

 

f:id:yamaiririy:20210814161630p:plain

出典:平成30年度 春期 情報処理安全確保支援士 午後一 問3

A2

事務PCのHTTPリクエストを監視する

 

 

Q3

事務PCから研究開発PCへファイルを転送するには、

ファイルサーバにログインし、そこでファイルのアップロードを行った後

研究開発PCからダウンロード用URLにログインしてアップロードしたファイルをダウンロードする必要がある。(逆も同じ手順)

事務PCがマルウェアに感染し、ファイルサーバに不正なファイルがアップロードされた時、このファイルが原因で研究開発PCが感染する可能性が低いのはなぜか。

50字以内で述べよ。

 

 

A3

研究開発PCからファイルサーバにアクセスして、

ファイルをダウンロードする必要があるから。

 

 

 

Q4

上記の図の(あ)に配信サーバを設置した時に

研究開発PCから配信サーバにマルウェアが感染する可能性が高くなる。

その理由を30字以内で述べよ。

 

 

A4

通信経路上に感染活動を遮断する機器が存在しないから

 

 

 

平成30年秋問2 セキュリティインシデント対応

Q1

次の空欄に当てはまる言葉を答えよ。

f:id:yamaiririy:20210815093105p:plain

出典:平成30年度 秋期 情報処理安全確保支援士 午後一 問2

 


A1(試験では選択肢が与えられている)

 

a.2G(1Gbpsの全二重(送信と受信を同時に行う)のため

b.VLANタグ

c.タップ

 

全二重について詳しく確認⬇︎

www.infraexpert.com

 

ネットワークタップについて詳しく⬇︎

ネットワーク・タップを利用することで、すべてのパケットを物理的にネットワーク機器に負荷を与えることなく取り出すことができることから、安心且つ有効にネットワーク可視化環境が実現できます。

ネットワークタップ: TAP| SCSK株式会社

 

タグVLANについて詳しく⬇︎

www.buffalo.jp

 

Q2

次の空欄に当てはまる言葉を答えよ。

マルウェアに感染したPCの無線LANのパケットをキャプチャしたところ、<d>リクエストを送信して、同一セグメント内のPCを探索していた

 

・セキュリティ機関からワームVに関する<e>形式で情報が提供されていた。

 

A2

d=ARPリクエス

ARP(Address Resolution Protocol)は、IPアドレスからEthernetMACアドレスの情報を得られるプロトコルです。

TCP/IP - ARPとは、RARPとは

 

e=STIX

(*1)STIX:Structured Threat Information eXpression。サイバー攻撃を特徴付ける事象などを取り込んだサイバー攻撃活動に関連する項目を記述するための技術仕様。

脅威情報構造化記述形式STIX概説:IPA 独立行政法人 情報処理推進機構

 

 

Q3

ワームVが以下の特徴を持つ時、aとbのスキャンがIPアドれる別の件数の上位に登場しない理由を25字以内で答えよ。

※G社ではL3SWにNSM(ネットワークセキュリティモニタリング)のセンサを設置している

f:id:yamaiririy:20210815094312p:plain

出典:平成30年度 秋期 情報処理安全確保支援士 午後一 問2

 

A3

a.パケットがNSMセンサの監視対象外であるため

b.同一IPアドレスへのスキャン回数は少ないから

 

 

Q4

社外から持ち帰ったPCを車内に接続する時にチェックすべきことは何か。2つあげ、30字以内で答えよ。

 

A4

・セキュリティ修正プログラムが適用されていること

マルウェア定義ファイルが更新されていること

・PCがマルウェアに感染していないこと

(いずれか2つ)

 

Q5

インシデント再発防止のため、有線LANでは、同じL2SWに接続されたPC同士のワーム感染を防ぐ対策をした。そのために行う設定を25字以内で述べよ。

※G社ではL3SW及びL2SWは、VLANをサポートしている機器ではあるが、VLANの設定はしていない

 

A5

VLANを使い、PC間の通信を禁止する。

 

VLANはレイヤー2スイッチで仮想的にブロードキャストドメイン、すなわちネットワークを分割する。(中略)

VLANによって仮想的にネットワークを分割することで、直接通信できる範囲を限定できる。 

今さら聞けない「VLANの基本」(1) VLANの概要と基本的な仕組み | TECH+

 

平成30年秋問3 ソフトウェアの脆弱性対策

Q1

Eサーバが異常終了した後、KリーダはSくんに被害拡大を防止する措置をとるように命じた。その内容を30字以内で述べよ。

f:id:yamaiririy:20210819103607p:plain

出典:平成30年度 秋 情報処理安全確保支援士 午後一 問3

 

A1

Eサーバをネットワークから切り離して、待機サーバを公開する。

 

Q2

以下はクラウド型WAFの導入に関するKリーダとSくんの会話である。

c,dを埋めよ。

f:id:yamaiririy:20210819103721p:plain

出典:平成30年度 秋 情報処理安全確保支援士 午後一 問3

f:id:yamaiririy:20210819103920p:plain

出典:平成30年度 秋 情報処理安全確保支援士 午後一 問3

A2

c-外部DNSサーバ

d-CNAME

jprs.jp

canonical name(正式名)」以外に、「aliases(別名)」を付けることができます

JPRS用語辞典|CNAMEリソースレコード(シーネームリソースレコード)

※ちなみにエイリアスaliasesの語源はエイリアンと一緒・・・

 

参考情報

www.onamae.com

 

平成31年春問2:クラウドサービスのセキュリティ

Q1

海外拠点QのSさんのPCがマルウェアに感染した。以下はその手口についてまとめたものである。②についてサーバ証明書が信頼できない旨のエラーが出なかったのはなぜか。メールサーバにHSTSが実装されていないことを踏まえ、20字で述べよ。

f:id:yamaiririy:20210819094741p:plain

出典:平成31年度 春期 情報処理安全確保支援士 午後一 問2

A1

HTTPで接続が開始されたから

 

鍵のマークは「SSLサーバー証明書」が導入されている証。SSLサーバー証明書とは、信頼できる第三者機関(認証局)が発行する電子証明書で、アクセスしているサイトが「認証局によって認められた正当なサイトである」ということを証明するものです。

いま見ているウェブサイト、本当に安全?信頼できるサイトを見分ける6つのルール | Prebell

 

不正無線LANアクセスポイント経由で誘導される手口【情報処理安全確保支援士試験 平成31年度 春期 午後1 問2 No.1】 | やさしいネットワークとセキュリティ

 

Q2

対策としてU社ではOTPの導入を検討した。

以下の方法ではフィッシングよる手口Gが防げない。

偽サイトでどのような処理が行われれば、メールサービスPへの不正アクセスが成立するか?理由を20字で述べよ。

 

f:id:yamaiririy:20210819095232p:plain

出典:平成31年度 春期 情報処理安全確保支援士 午後一 問2

 

A2

OTPの入力を要求し、OTPを認証サーバXに中継する処理

 

 

Q3

パスワードレス認証のための、IDaaSXにおけるオーセンティケータの処理で

c,d,e,fに当てはまる言葉を以下から選べ。

 

公開鍵A

秘密鍵A

公開鍵K

秘密鍵K

f:id:yamaiririy:20210819101919p:plain

出典:平成31年度 春期 情報処理安全確保支援士 午後一 問2

f:id:yamaiririy:20210819102006p:plain

出典:平成31年度 春期 情報処理安全確保支援士 午後一 問2

 

 

A3

c=秘密鍵A

d=公開鍵A

e=秘密鍵K

f=公開鍵K

※「IDcに対する<f>」とあり、図5を見ると、「IDcごとの公開鍵K、秘密鍵Kを生成」という記載もある

thinkit.co.jp

 

 

Q4

パスワードレス方式では、フィッシングよる手口Gが防げるのはなぜか。図5、図6中の言葉を用いで40字以内で答えよ。

 

A4

認証サーバXでオリジンbとオリジンsの一致を確認しているから

 

平成31年春問3 

Q1

以下の方式で認証を行う時、

認証トークンをゲームサーバ管理者が不正に生成できてしまう

ゲームサーバの仕様を30字以内で述べよ。

f:id:yamaiririy:20210814173142p:plain

出典:平成31年度 春期 情報処理安全確保支援士 午後一 問3

 

A1

ゲームサーバに認証サーバと同じ共通鍵を保存する

 

 

Q2

ゲームプログラムごとに別の共通鍵を使用したとしても

ゲームサーバ管理者が不正にゲームプログラムが利用できる

認証トークンを作成できてしまう原因となる

認証トークンの仕様を20字以内で述べよ。

 

 

A2

MACの生成に共通鍵を使用する

 

 

Q3

内部構造や内部データを解析されにくい性質のことをなんと言うか。

 

A3

耐タンパ性

 

 

参考情報

ブートローダ:電源を入れて最初に起動されるプログラム

Core Root of Trust Measurement(CRTM):一番最初に起動されるコードであり、改変ができないように保護された上、実装される。

情報セキュリティ技術動向調査(2009 年上期):IPA 独立行政法人 情報処理推進機構

 

令和元年秋問2:セキュリティインシデント対応

Q1

他者がEDRなどセキュリティ対策ソフトウェア又はセキュリティ機器を用いて観戦端末を検出するにあたり、共有すべき情報を2つ選択せよ。

f:id:yamaiririy:20210820000159p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後一 問2

f:id:yamaiririy:20210820000844p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後一 問2

f:id:yamaiririy:20210820000410p:plain

出典:令和元年 秋期 情報処理安全確保支援士 午後一 問2

 

A1

イ、ウ

 

ア PC-VとPC-Tがマルウェアに感染した日時情報 

→感染時刻はPCによってタイミングが異なるので参考にならない
イ マルウェアPとマルウェアRがHTTPによる通信を試みたグルーバルIPアドレスM

EDRでネットワークの通信を記録するとあるので、参考になる
ウ マルウェアPとマルウェアRが配置されていたフォルダNのパス名

EDRで実行ファイルのパスを記録するとあるので、参考になる
エ マルウェアPに感染したPC-VのプライベートIPアドレス

→組織特有の情報のため参考にならない
オ マルウェアPのファイル名

→提供されたサイバーセキュリティ情報の概要(あ)に攻撃対象ごとにファイル名を変更するとあるので参考にならない
カ マルウェアRに感染したPC-TのプライベートIPアドレス

→組織特有の情報のため参考にならない
キ マルウェアRのファイル名

→提供されたサイバーセキュリティ情報の概要(あ)に攻撃対象ごとにファイル名を変更するとあるので参考にならない

 

令和元年秋問3:標的型攻撃への対応

Q1

マルウェアに感染した疑いのあるPCがある時、電源を切らないでおくのはなぜか。25字以内で述べよ。

 

A1

メモリ上の情報が失われないようにするため。

 

Q2

マルウェアに感染したPCがC&Cサーバに通信していることが判明し、他に社内で感染しているPCやサーバがないか調査を行った。

PCやサーバの状態によってはFWのログを使った確認ではマルウェアに感染していることを検知できないことがある。それはPCやサーバがどのような状態にある時か。40字以内で述べよ。

 

A2

感染したが、C&Cサーバと通信する前にネットワークから切り離された状態。

 

 

令和2年春問2:電子メールのセキュリティ

Q1

<a>を埋めよ。

f:id:yamaiririy:20210823224121p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後一 問2

A1

LDAP

ではLDAPとは何なのでしょうか。Lightweight Directory Access Protocolという名前からわかるようにディレクトリデータベースへアクセスするためのプロトコルです。

LDAPとは何をするもの? | Think IT(シンクイット) 

Q2

<b>を埋めよ。

f:id:yamaiririy:20210823224527p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後一 問2

 

A2

OCSP

Online Certificate Status Protocol

 

Q3

メールの通信を暗号化しただけでは、項番1を満たせないのはなぜか?35字以内で述べよ。

f:id:yamaiririy:20210823224841p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後一 問2

A3

メールサーバ上ではメールが暗号化されていないから。

 

 

Q4

送信者の検証をしても以下のような場合は攻撃が防げない。<c>を埋めよ。

f:id:yamaiririy:20210823225227p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後一 問2

A4

メールサーバ

 

Q5

S/MIME証明書を導入したときに、どのような場合にメールが復号できなくなる可能性があるか。

 

f:id:yamaiririy:20210823225637p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後一 問2

 

A5

復号に必要な鍵を意図せず削除した場合

 

 

参考情報

www.youtube.com

令和2年春問3:Webシステムのセキュリティ診断

Q1

PF診断を行うときに、N-IPSの脅威判定診断を無効にするとより多くの脆弱性を検出する可能性があるのはなぜか。35字以内で述べよ。

 

f:id:yamaiririy:20210823222235p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後一 問3

 

A1

N-IPSで遮断されていたPF診断の通信が通過するから。

 

Q2

PF診断を行うときに、N-IPSの脅威判定診断を無効にするのではなくN-IPSの設定を変更すれば、本物の攻撃を防げないと言うリスクを防ぐことができる。どのような設定変更をすれば良いか。

 

 

A2

ホワイトリストに診断PCのIPアドレスを登録する。

 

 

Q3

診断を行うときに、警告灯が点灯しないようにするには、本番DBサーバの設定をどのように設定を変更すべきか。

※本番DBサーバに導入されているホスト型IPSの概要は以下の通り

f:id:yamaiririy:20210823223213p:plain

出典:令和2年 秋期 情報処理安全確保支援士 午後一 問3

 

A3

ホスト型IPSのホワイトリスト設定に、診断PCのIPアドレスを登録し、
侵入検知設定を無効にする。

 

 

 

 

令和3年春問2:ネットワークのセキュリティ対策

Q1

以下に当てはまる単語を述べよ

f:id:yamaiririy:20211004215809p:plain

出典:令和3年 春期 情報処理安全確保支援士 午後一 問2

f:id:yamaiririy:20211004220046p:plain

出典:令和3年 春期 情報処理安全確保支援士 午後一 問2

 

 

A1

c-A(レコード)

www.onamae.com

f-スタブリゾル

g-フルサービスリゾル

 

 

Q2

プライマリ権威サーバがDNS-K、セカンダリ権威DNSサーバがDNS-Sの時、

ゾーン転送要求はどのように制御すべきか。許可か拒否で答えよ。

f:id:yamaiririy:20211004221835p:plain

出典:令和3年 春期 情報処理安全確保支援士 午後一 問2

 

j-拒否

k-許可

l-拒否

m-拒否

 

権威 DNS サーバにおけるゾーン情報の転送設定においては、必要のない IP
アドレスからのゾーン転送要求を制限し、意図しない情報流出を防ぐことを、
お勧めします。

  - プライマリサーバでは、セカンダリサーバの IP アドレスからのゾーン転
    送要求のみを受けつけるよう設定する
  - セカンダリサーバでは、すべての IP アドレスからのゾーン転送の要求を
    拒否する

DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起

 

Q3

セカンダリDNSサーバを用意することでどのようなリスクを低減できるか?

 

 

A3

権威DNSサーバがサービス停止になるリスク

 

令和3年春問3:セキュリティ運用

Q1

パッチ担当者は、セキュリティパッチを検証用LANのPCでアプリケーションを2日間稼働させて<a>を確認することが求められている。

 

 

A1

PCの動作に問題がないこと

 

 

Q2

資産管理サーバから検証LANのPCにWoLの動作検証をしたがうまくいかなかった。L3SWでどのような対応をする必要があるか。

f:id:yamaiririy:20211004223135p:plain

出典:令和3年 春期 情報処理安全確保支援士 午後一 問3

 

A2

起動パケットを他のセグメントに転送するように設定する。

syuntech.net

 

 

Q3

(2)と(4)で必要な情報は何か。

f:id:yamaiririy:20211004223444p:plain

出典:令和3年 春期 情報処理安全確保支援士 午後一 問3

 

A3

(2)ーIPアドレス

(4)ーMACアドレス

 

 

Q4

WoLの起動コマンドに当たる、<b>と<c>を以下の選択肢から選べ。

f:id:yamaiririy:20211004223610p:plain

出典:令和3年 春期 情報処理安全確保支援士 午後一 問3

f:id:yamaiririy:20211004223657p:plain

出典:令和3年 秋期 情報処理安全確保支援士 午後一 問3

 

 

A4

b-エ

c-イ

 

前述したように、WOLはネットワーク経由で電源投入の指令を送る機能だ。そのため、WOLの対象になるPCは、ネットワークに接続されている必要がある。そのPCに対して、「マジック・パケット」と呼ばれる、特殊なイーサネット・フレームを送信する。このマジック・パケットは、一般に「AMD Magic Packet Format」と呼ばれる形式のフレームで、以下のような内容をUDPで送信することとなっている。