【SCR04秋PMI問3解説】令和04年秋午後1問3(情報安全確保支援士)
このNoteでは「セキスペR04秋午後1問3」の解説をします。
各問題の解説:どう正解に至るか
合格者のコツ・視点
1の解説では、正解に至るために必要な情報を明記し、模範解答だけでなく、私の解答・解答を作る経緯まで書きました。
2には、注目していたセキュリティ情報・別解・無茶ぶり解答の活かし方をピックアップしておきました。
少しキビシメに言いますが、過去問を解いて合格点に至らないのは、学習効果がない学習をしているためにです。
より「高い品質の問題演習」をしたい方は、ぜひ2まで読んでくださいね。
私はSCPMIIを97点で独学合格し、IT専門学校で授業しています。このNoteには、授業で教えていること以上の情報を詰め込みました。
一所懸命に作ったので、信頼して下さったら嬉しいです。
それでは始めましょう!
設問1(1) | 複数個所で確認できる
正答は、376。
開発部からタグ367を伝達され(15頁より)
でも間違えた(空欄a)
表2を見ると、351か376っぽい
表2より、10時14分に起動してるので376ですね。打ち間違いだから376、は根拠弱いかなと。語順ではなく、キーの位置的な打ち間違いもあり得るので。表2で裏取って解答します。
なお、後になって表3でも確認できます。
ゲームサーバ1で376、2で367をレジストリサーバから入手しているのが分かります。
設問1(2) | 作文は「外せない言葉」から
模範解答は、「progというファイルをダウンロードし、実行する命令」。
まぁ正解できます。
まずは、コードZの混入から実行までの経緯。
progはゲームイメージには入っていない
ー>イメージ作成時にDLされたOSSにも含まれていないOSSにはコードZは含まれている
3時間後に攻撃者からの指示を受け実行する
以上より、progがないので取り込むか作らねばなりません。そしてコードZは攻撃者からの命令待ち。
よって、攻撃者のサーバからダウンロードし実行する、となります。
「prog」「ダウンロード」「実行」を組み合わせて作文すればOK。
「progファイルをダウンロードし実行する」。20文字。10文字少ないぐらいはOK。
「どのような命令か」と問われているので、語尾を「命令」にして「progファイルをダウンロードし実行する命令」。22文字。こんなもんでしょう。
「prog」「ダウンロード」「実行」どれが欠けても失点です。
作文は、まずは「外せない言葉」を書き出して、それらをつなげていく作業です。なかなか「言語化が難しい」時は単語を並べてつなげる意識から。
設問1(3) | 問題文から同じ言葉を探す
模範解答は「一時ディレクトリ内のログ」。
「空欄bも消失してしまいます」なので、問題文の「(コンテナに関する)消失」を探します。
表1のゲームサーバ1~4に「コンテナ終了時に消去される」がありました。消えるのは、一時ディレクトリ(とその中のゲームアプリのログ)。
一時ディレクトリと書くか、ゲームアプリのログまで書くか、迷いました。
一時ディレクトリ内、ゲームアプリのログの記載内容が書かれていないし、攻撃特定のためか利用者のプレイデータ保全のためか目的も書かれていないんですよね。
一時ディレクトリ内のゲームアプリのログ:19文字で×
一時ディレクトリ:8文字は少ない
ゲームアプリのログ:9文字はまぁ少なめ
私なら「一時ディレクトリ」と書きます。なぜなら全部保全してた方が良いから。またフルだと19文字で収まらなかったので。
ゲームアプリまで絞らないと失点なのか部分点なのかは判断できませんが、やはり詳細が分からないので絞りたくないです。
とはいえ、わざわざ「ゲームアプリのログ」と書いてあるから、作問者は答えて欲しいんだろうなと思います。
でも19文字オーバーするから「ログ」と縮めるのは。。。文字制限を15文字ではなう20文字以内とすべきと思います。
設問1(4) | AMIIレベルの用語問題
正答は、「ゼロデイ攻撃」。
これはAMIIレベルなので大丈夫ですね。
下線部2の「対策情報が公開される前の脆弱性を悪用した攻撃」と、そのままキーワードです。必ず得点してください。
設問2(1) | 模範解答を今後のカードにする
模範解答は「レジストリサーバに固有のレスポンスヘッダ」。
無理です。捨て問でOK。
ただ今後困ったら使わせてもらいましょう。このNoteの最後で詳しく復習します。
設問2(2) | 「対処」がメタ的に再発防止策ではない
模範解答は「上書きされたイメージを削除する」
「被害の拡大を防止するために(下線4前)」は、「レジストリサーバ上のゲーッムイメージが上書きされた可能性(下線4の3行前)」に対策して、ゲームサーバ3と4への影響を防ぐ必要があります。
よって「上書きされた可能性のあるイメージ」「341~379」について、「削除」なり「イメージの再登録」が正しいです。
ソースコードサーバは無事なので、ゲームイメージを生成させて、レジストリサーバに登録し直せば元通り。
「対処」と聞くと、設定変更などの再発防止策と思ってしまいます。私もそう思いました。
私は「REST APIに認証・認可機能を設定する」と答えました。
表1に、わざわざ「REST APIに認証・認可機能を設定されていない」と書いてあるので答えに使うと思ったからです。
でも失点の可能性が高いです。なぜなら下線4は【各サーバ上での被害の調査】と暫定処理であり、【再発防止】は次節だから。
しかし今回の問題では「REST APIに認証・認可機能」、結局使いませんでした。
PMIは短いので、しばしば「え?それでいいの?これ使ってないよ?」という情報が残ります。PMIIでは余すことなく使うのですが。。。
PMIがあった当時は「PMIだから、ここまで深くは考えてないだろう」と、こちらが手加減する必要がありました。
現在はPMIとPMIIは統合されています。このメタ読み、PMIでは空振りましたがPMII(現午後問題)では有効です。
PMIIでは、わざわざ危なくなっている設定、まだ解答に使っていない情報など、メタ読みしながら読むのが有効です。問われてから答えを探し始めるよりも、手元にあるカードから考え始める方が速いですよ。
設問3(1) | 問題文から情報を搔き集める
正答は「a3.b3.c3.d3」。
簡単です。「IPアドレス」を問題文から探せば良いです。
a1.b1.c1.d1:業務用FW:表1より
a2.b2.c2.d2:LB:表1より
a3.b3.c3.d3:インターネット上:17頁表3の上の文
17頁表3の上の文に「ゲームサーバ1はインターネット上のIPアドレスa3.b3.c3.d3及びレジストリサーバに」より、攻撃者のサーバだと分かります。
必ず得点してください。
設問3(2) | AMIIレベルの用語問題
正答はエ(ボットネット)。
「マルウェア感染によって攻撃者の制御下になったコンピュータで構成される」何かなので、ボットネット。今回は、攻撃者のサーバ(C&Cサーバ)からの命令も受けましたし。
少し消去法でも迫れます。
イ:ダークウェブ:検索エンジンなどでは到達できない不法サイト
ウ:ハニーポット:攻撃者を招き入れる罠のスペース。
ハニーポットから連想して「サンドボックス」も知っておきましょう。「サンドボックス」は、コンピュータ内の隔離領域。マルウェアを実行させて挙動を観察します。
敢えて攻撃者・マルウェアに活動させている点が似ています。
これも必ず得点してください。
設問3(3) | 別解があるかもしれない
模範解答は「別のIPアドレスを攻撃者が用いる場合」。
かなり基本的な考慮点でしたね。
話の流れは、
マルウェアは攻撃者(a3.b3.c3.d3)へアクセスして命令を受けた
攻撃者(a3.b3.c3.d3)へのアクセスを業務用FWで拒否したらどうか?
防げない場合があるからダメ。
よって、a3.b3c3.d3以外のIPアドレスには無力だ、と考え至ります。あからさまにIPアドレスを話題にしているので気づきましょう。
でも、別解もあるかもしれません。
「本番FWを介して攻撃者サーバにアクセスする場合」。13文字。
コードZはゲームサーバで実行されたので、本番FWから通信しても良いと考えました。通常のユーザーさんと同じ通信経路ですからね。
業務用FWの設定変更では対応しきれない、と捉えると成立する見込みある別解と思います。
設問3(4) | 各機器の役割を把握していれば簡単
正答はオ(ソースコードサーバ)。
話は「ゲームイメージの新規登録及び上書き」するREST API呼び出しを許可する機器のIPアドレスなので。
開発したソースコードからイメージを作成する時に使うAPIですから。
必ず得点してください。
合格者が読むときに見たポイント
ここでは、解き終えて思った点を紹介します。
「正解した/しなかった」「合格点いけた/いけなかった」ではなく、深い理解を伴った問題演習に高める参考になったら嬉しいです。
結局使わないんかーい(APIの認証&認可機能)
結局「REST APIの認証・認可機能」は使いませんでした。レジストリサーバにアクセスできたんだから、同じ内部サーバLANのソースコードサーバにも侵入される可能性があると思うんですがね。
メタ的に、問題文の記載情報、特に機器の機能全てが解答に使われます。無駄な情報はありません。
しかしPMIは問題が短いので、しばしば使われない情報が残ることもあります。PMIIなら必ず全情報が使われます。
現在の午後問題は旧PMIと旧PMIIの間ぐらいなので。旧PMIIのように全ての情報が使われると考えて大丈夫です。
わざわざ「設定していない」など書いてあれば「きっと攻撃者に突かれるし」「きっと改善策で挙げられるはず」と考えて「怪しいポイント」▼印をしておいてください。
設問3(3) の別解について
設問3(3) の別解は、問題を解き始める前から感じた違和感から生じました。
図1を見た時から、ずっと危ないなぁとひっかかっていたんです。
出入口が2つ:本番FWと業務用FW
内部でつながっている:業務用FWと本番LANのL2SW
過去問でもあったのですが、業務用FWと本番LANのL2SWは、アプリ更新時以外は断線させておくべきです(出題実績アリ)。
「利用者→本番FW→LB→ゲームサーバ」でアクセスするはずなので、逆にも出ていけるはずです。利用者への応答通信を業務用FWを経由させるはずないです。
この問題では、各FWのフィルタリングルールが明記されていないので、これ以上詰められませんが、たぶん別解として成立すると思います。IPアドレスを変更しなくても成立しますから。
無茶ぶり模範解答の使い道
作文問題では発想の外側、「え?そんな当たり前のことで正解だったの?」「問題文に書いてないこと求めるの?」ということも1~2問あり得ます。
設問2(1)の「レジストリサーバに固有のレスポンスヘッダ」。
あまりにノーヒントで「ずるい」と思いますよね。
まだ表3で色んなアクセスの色んなステータスコードが書かれていたり、表1にヘッダの仕様が書かれていたりすれば、考えようがありますが。
私も表1レジストリサーバを見て、特殊な動作をしていないか確認をしましたが、記述がないので失点しました。
解答を見れば分かりはしますが、試験当日に正解はできません。捨て問です。
捨て問とはいえ、今後の答えとして持っておきましょう。困ったら「~固有のレスポンスヘッダ」を使うんです。以前模範解答にしてたのを×にできるもんならやってみろと。
オペミスの改善策は?
細かいかもですが。
今回の攻撃と切り離して「イメージタグの367を376と間違った入力したオペミスって放置?」とツッコミ。
どんな影響があるかは記載がないので分かりませんが、例えば古いバージョンなり季節限定のバージョンなりがリリースされて、ユーザに不公平が出ることないのかな、と思いました。
課金しているユーザーさんとか、キレると思うんですよね。
10時に更新、気づいたの13時40分。3時間40分も時間あればかなり差がつくのではないかなと。
まとめ
お疲れ様でした!
今回の問題はプログラム的なものが入り込んで、すこし難しかったですね。また問1も同じような特性の問題だったので、どちらを選ぶかも私は迷いました。
改善策として本番FWの設定変更・APIの認可認証機能の設定などをしていない甘い点もありましたが、気づいたなら力はかなりついていると判断できます。試験は攻めが大事。
また「レジストリサーバに固有のレスポンスヘッダ」なんて「仕様かヒント書いとけボケェ!」と無茶ぶりな模範解答もありました。今後の解答カードに使わせてもらいましょう。
引き続き問題演習、しかも「正解した/しなかった」「合格点いけた/いけなかった」ではなく、深い理解を伴った問題演習をしていってくださいね。
ぜひ「情報セキュリティスペシャリスト」合格してくださいね。
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ