令和三年秋の情報処理安全確保支援士振り返り、
今回は午後II篇です。
午前II篇⬇︎
午後I篇⬇︎
注意:
・問題は過去問そのものではなく、一部変更しています。その点ご留意下さい。
・問題から一部抜粋しているため、以下の問題文だけでは答えがわからない場合があります。
・問題番号は試験通りではありません。
設問全体
1.協力会社とのファイルの受け渡しに関する記述
2.マルウェア感染への対処に関する記述
から1問を選びます。
<協力会社のファイルの受け渡しに関する記述>
もタイトルだけ見ると定番そうだったのですが、
XSSや認証に関する設問があったので「セキュアプログラミングよりかも・・・」と考え、
2.マルウェア感染への対処に関する記述
を選びました。
問2
設問1.
(1)テレワークセキュリティ規程を作成する場合の、役割分担に関する問題。
以下のa-cにア.経営者 イ.システム管理者 ウ.テレワーク勤務者から該当するものを当てはめます。
a=IPA回答:ア.経営者
b=IPA回答:イ.システム管理者
c=IPA回答:イ.システム管理者
d=IPA回答:ウ.テレワーク勤務者
(2)eに当てはまる言葉を入れます。
<e>暗号リスト、とくれば回答はコレですね^^
e=IPA回答:CRYPTREC
設問2.
(1)以下の①のネットワーク構成を表す用語を回答から選びます。
回答群をみると、
ア.OpenFlow
イ.Software-Defined Networking
ウ.ゼロトラストネットワーク
エ.ローカルブレイクアウト
と、今年注目が集まった用語が並んでいます。
(来年は午前IIにこの辺りから出題されるかもしれませんね)
①を表すエを選択。
(2)
以下の構成にした時に、②の原因が起きた原因を答える問題。
表1のBサービスの説明を見ると、アクセス元IPアドレスがUTMのグローバルIPアドレスの場合だけアクセスが許可され、そのほかの時は拒否される、とあります。
新構成では、UTMのあるDCを経由せずにBサービスにアクセスするNWルーティングに認めアクセスが拒否されました。
IPA回答:Bサービスのアクセス制限機能によって通信が拒否されたから。
設問3.
(1)
IPリストに登録されたアドレスへの通信をUTMで拒否するだけでは、攻撃者が行う設定変更によって通信を遮断できなくなってしまう、その理由を回答します。
IPリストに登録されたアドレスが変わってしまう場合を述べれば良いので、
FQDNを変更する、C&CサーバのIPアドレスを変える・・・
あたりを回答した気がします。
ただ、回答をみると方向性は合っていますが、きっちり回答はあっていなかった気がします・・・^^;
IPA回答:マルウェア内にFQDNで指定したC&CサーバのIPアドレスの変更。
(2)
④についてDNSシンクホール機能を有効化した場合でもUTMでの通信拒否が必要な理由をマルウェアの解析結果を踏まえて答える問題です。
これが当日最後まで悩みました。
まず、DNSシンクホール機能について表1を再度確認してみると、
DNSクエリをチェックし、危険リストに登録されている
とあります。
またマルウェアの解析結果(表2前後)を踏まえて回答するように指示があります。
表2の少し前を読むと、
とあります。ということはIPアドレスでアクセスする場合は、DNSクエリ(問い合わせ)が実行されないというということになります。
IPA回答:C&Cサーバとの通信時にDNSへの問い合わせを実行しない場合があるから
(3)
空欄を埋める問題。
感染を確認するために<f>を確認するとあるので、攻撃者の特徴が記載されている図8を確認します。
すると、
イベントログにイベントログの消去を示すログが記録されていた
とあるので、それをそのまま引用します。
riri/IPA回答:イベントログの消去を示すログ
(4)
上記⑤の理由を答える問題。
マルウェアの挙動を表2で確認すると、マルウェアは3つの機能をランダムに実行し、
遠隔操作機能を実行すると停止する、とあります。
問題ないと判定されるのは遠隔操作機能を実行していない場合です。
IPA回答:横展開機能と待機機能を実行していた場合
(5)
連携サーバは現在は研究部が管理する連携FWを経由してインターネットに接続されています。DMZに移動することで、インターネットとの境界に設置されているUTMの機能を活用することができます。
IPA回答:UTMのIDS機能によって攻撃が検知でき、システム管理者に連絡がされるから
設問4.
(1)
連携サーバに細工されたファイルが加工されていた可能性のある最も早い日を回答します。
図8をみると7月14日に、攻撃者がマルウェアαを添付したメールをFさんに送り、Fさんがそのメールを開いたとあります。
よってその日付を答えます。
IPA回答:7月14日
(2)
hに当てはまる言葉を回答します。
本文に、C&Cサーバへの通信の遮断への対策(対策1)として、
C&CサーバのIPアドレスとFQDNのリストのDNSの正引き結果のIPアドレスの二つを合わせたIPアドレスのリスト(IPリスト)を手作業で作成して、その通信をUTMで拒否するとあります。
(3)
⑦についてどのような会員が該当するか回答する問題。
メモが残っていなかったので、正確に自分がどう回答したか覚えていないのですが、おそらくわからなかったと思います・・・・^^;
改めて考えると、連携端末から感染が拡大したことがが明らかな会員とあるので、
会員が情報連携に使う連携端末以外からの通信を記録を確認すれば良いことになります。
IPA回答:連携端末以外のIPアドレスを送信元とする通信記録
(4)
⑧の対応が何かを回答します。
感染が判明した後の対応を読むと、
その1つに、化学コン運営責任者を通して、連携端末を一時的にネットワークから切り離してもらうように連絡したとあります。もし調査の結果通信記録がなければすでにネットワークから切り離しているので、感染を拡大する可能性は低いと判断できます。
IPA回答:連携端末を一時的にネットワークから切り離した対応
自己採点結果と感想
自己採点結果は以下の通りです。(79)
※配点予想はTACの配点予想を参考にしました。
割と定番の問題だったかな、というのが感想です。
(実際は70点だったので、
問3-5がUTMで検知した後のシステム管理者までの連絡まできっちり書けていなかったので△かX、加えて他の問題でも不十分な点があって減点があったのではないかと思います。)
TACの本試験分析資料では難易度はB(3段階評価の真ん中)でした。
マルウェア感染に関連して、
コロナでさらに普及したテレワークや、
最近のセキュリティ事故のように1社で収まらないシナリオが書かれており、
分量は多いものの、そこまでトリッキーな内容ではなかったかな、と思います。
ただ、自己採点より実際の点数が低かったので、
求めれらるもの、押さえるべき点をきっちりと書かないと点はもらえないんだな、
と改めて感じました。
******************************
ririの全勉強記録は別記事にまとめていますが、
午後対策は、
・過去問を2周、間違いが多いものはもう1回追加で解く。
・間違えた問題は一問一答式にする。
という形で定着させていったので、
定番問題や選択問題を確実に取ることができたと思います。
本記事が受験される方の参考になれば幸いです^^
************************
よろしければこちらもご覧下さい⬇︎