情報処理安全確保支援士2022年(令和4年)秋午後1問3(1,440 文字)

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)はなぜか死んでるゲームサーバ1は何のタグのゲームイメージを取得したか。10:05に図2の2(a)のコンテナを終了し、10:14に(c)の起動をしているのでタグは376です。367と間違えやすそうですね(?)
答え 376
(2)はゲームサーバ1に入れたゲームイメージに含まれるOSSに悪意のあるコードZが発見された。攻撃者がコードZに指示した命令によってprogというプロセスが実行中だったと考えられるがどんな命令なのか。マルウェアダウンロードと思えばC&Cの何かでしょうということでC&Cサーバと通信してprogをダウンロードして実行させる命令でしょうね
答え progというファイルをダウンロードし、実行する命令
(3)はメモリダンプを取ってから稼働中のコンテナを終了すると、メモリ上のデータと[b]が消えるから一時停止しろ。の穴埋め。この手の終了すると消えるものといえばプロセスの実行状況ですが、表1のゲームサーバ1～4に一時ディレクトリがコンテナ終了時に消去されると書いてあります。よって答えは一時ディレクトリ内のログです。
答え 一時ディレクトリ内のログ
(4)は対策情報が公開される前の脆弱性をつく攻撃。ゼロデイ攻撃ですねえ
答え ゼロデイ攻撃

本文(設問2)

問題文(設問2)

解説(設問2)

(1)は/index.htmlのレスポンス内容からレスポンスを返したホストがコンテナイメージが登録されているサーバと判断したらしいが、レスポンス内容の何を見てレジストリサーバと判断できるのか。これ答えなのか?と言われると悩ましいですが、レジストリサーバ固有のレスポンスヘッダがあればレジストリサーバと判断ができます。
答え レジストリサーバに固有のレスポンスヘッダ
(2)はレジストリサーバのイメージが上書きされたというので対処として何をするか。被害を受けたときの対処は拡大を止めるのと被害前への回復です。ログ的にはもう拡大は止まっているっぽいので、新しく上書きされたイメージを削除するのが対処となります。
答え 上書きされたイメージを削除する

本文(設問3)

問題文(設問3)

解説(設問3)

(1)は攻撃の指示はどのIPアドレスのサーバから受け取っていたか。そもそもIPアドレス自体が初手のM社内紹介の後は[各サーバ上での被害の調査]のa3.b3.c3.d3しか出てきてないな?
答え a3.b3.c3.d3
(2)はマルウェア感染によって攻撃者の制御下にあるコンピュータで構成されるものを何というか。ボットネット(エ)と呼びます
ゼロトラストは社内すら信用しない運用、ダークウェブは簡単にアクセスできない闇の世界 ハニーポットは不正アクセスを集めるためのおとり
答え エ
(3)は攻撃指示をしたIPへの接続をFWで拒否するだけでは、有効でない場合があるが、それはどんな場合か。別のIPから接続することだってあるというだけ
答え 別のIPアドレスを攻撃者が用いる場合
(4)はレジストリサーバ側の対策としてREST APIのゲームイメージ新規登録と上書き登録呼び出し時は[e]のIPアドレスだけに制限するの穴埋め。どこからゲームイメージ取るのってソースコードサーバなのでオです
答え オ

終わりに

普通というか、これ解答なのか?ってのが何問かあって不思議な感じ

主な参考サイト

コンテナ経由でホストを侵害する「コンテナエスケープ」攻撃を実例で解説