情報処理安全確保支援士2022年(令和4年)秋午後2問1(2,210 文字)

イナ

2023年9月8日 07:08

問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

(1)はダウンロードしたプログラムコードがディスクには展開されずにメモリ内だけに展開されるマルウェアの名称。消去法でも名前からでもいいですがエのファイルレスマルウェアです。アドウェアは文字通り広告だし暗号資産採掘はもうそのままだし、トロイの木馬は無害っぽく見えるけど実は有害ってギリシアの話だし、ランサムウェアは暗号化しまくるやつです
答えエ
(2)は検体αの挙動が週末挟んで週明けに再実行したら変わってるかもという話。検体αが通信しているのはC&Cサーバなので、このC&CサーバのIPアドレスが変わっていたらダウンロードする物も変わって再現はしないかもしれません。そもそも同じIPでもプログラムコード変えたら再現しないのでは?と思いますがIPAの回答は前者らしい。
答え C&CサーバのIPアドレス
(3)は仮想マシン上の動作を検知してコード削除と終了する検体γの解析のために別の環境を用意する話。普通に仮想マシンでない環境でしょう
答え 仮想マシンではない実機環境を使う。

本文(設問2)

問題文(設問2)

解説(設問2)

OF環境で実行したマルウェアからの感染を防ぐために検疫PCを入れたときの動作について。基本的にはOF機器→検疫PC→ファイルシェアサーバに送るという流れなので、1, 2でOF機器でログを集めて3, 4で検疫PCに送付、5でチェックして6, 7でファイルシェアサーバに送ると思えば1がアで2がウ、3がエで4がイなのはわかるはず。OF機器をシャットダウンしてからじゃないと検疫PCの感染確認しても弱いのでア→ウの順番が決まり、イが最後と思えば残りはエですね。
答え 1 : ア, 2 : ウ, 3 : エ, 4 : イ

本文(設問3)

問題文(設問3)

解説(設問3)

(1)はネットワーク内の機器情報を得るにはツールのどの機能を使うか。いや1しかないでしょ。2は標的がすでに分かっている場合で3が2の成功後と書いてあるので1以外の選択肢を選べません。
答え 1

(2)はARPスプーフィング後のARPテーブルについて。要はX-PCからの通信はそのままに他の通信は全部X-PCを通ればいいのでfはXX-XX-XX-23-46-4a(ア), gはXX-XX-XX-f9-48-1b(イ), h,i はXX-XX-XX-fb-44-25(ウ)が正解です
答え f : ア, g : イ, h : ウ, i : ウ

(3)はパケット記録について。ARPスプーフィングが別に送信元を偽るものではなく、宛先を自身のものに変えて情報収集するものです。で、jはそのままアでそれを受けるkはX-PCのウ。そして代わりにDNSに接続するlがX-PCのウで宛先mはDNSでイです。DNS→標的PCの通信もX-PCに来てるので、nがX-PCのウで、最終的にoとして標的PCのアが受けます。
答え j : ア, k : ウ, l : ウ, m : イ, n : ウ, o : ア

本文(設問4)

問題文(設問4)

解説(設問4)

(1)はストレッチングとは何か。ハッシュ化を何度も繰り返して推測されにくくする処理です。
答え ハッシュ化を繰り返す処理
(2)はパスワードを割るためにブルートフォース攻撃を仕掛けてもダメな理由は何か。5回連続で失敗したら10分ロックって直前の図7の1に書いてあるからですね。
答え ログイン失敗が5回連続した場合に当該利用者IDをロックする機能
(3)はハッシュ値から平文を得るための攻撃は何か。ヒントとしてソルトがそれを防いでいるとありますが、これはレインボーテーブルです。
Pass the hashはハッシュ情報を得て成り済ます攻撃、SHA-1衝突は別ファイルなのにSHA-1でハッシュ値演算すると同じ値が出ること(これを使ってすり替えを行える)で既知平文は平文とハッシュ値を比較して鍵を算出すること
答えエ
(4)はシステム管理者のパスワードとしてn番目の候補となる文字列とは何か。図7でパスワードについての推測としてAdmin+数字5桁と書かれていることから、このnをうまく変換して5桁にし、Adminという文字列とくっつつけたものが候補です。
答え 変数nの値を5桁の文字列に変換して"Admin"に結合した文字列。

本文(設問5)

問題文(設問5)

解説(設問5)

(1)はARPテーブルが不審な状態って何?というふんわりした問題。ARPスプーフィングでは周りの通信が全部1つのPCに集まる=同じMACアドレス宛だらけになるので、それが不審という認識でいいと思います。
答え 同一のMACアドレスのエントリが複数存在する状態
(2)は人事サーバアクセスについてログをどうするか。図7の2にはログにIDごとのセッション情報や認証情報、関数名、変数値などが入ってたという話で、これはヒントを与えすぎと言えます。なのでログに出力するべきでない情報、特に認証情報は出力しないようにするとよいです。
答え デバッグログに認証情報出力しない

終わりに

午後2の問2もそんな難しくなかったと思えば似たような難易度かなと
春の午後2の問2はハードだったからその反動か?

主な参考サイト

【パスワード】ストレッチングとは
 GoogleとCWI、SHA-1衝突に成功、ハッシュ値が同じ2つのPDFを公開

この記事が気に入ったらサポートをしてみませんか？