Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和5年度 春期 午後1 問2 その3

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問2】

https://www.ipa.go.jp/shiken/mondai-kaiotu/ps6vr70000010d6y-att/2023r05h_sc_pm1_qs.pdf

[受付 サーバの設定変更の調査]
 Mさんは、攻撃者が受付サーバで何か設定変更していないかを調査した。確認したところ、③機器の起動時にDNSリクエストを発行して、ドメイン名△△△.comのDNSサーバからTXTレコードのリソースデータを取得し、リソースデータの内容をそのままコマンドとして実行するcronエントリーが仕掛けられていた。Mさんが調査のためにdigコマンドを実行すると、図2に示すようなリソースデータが取得されていた。

 Mさんが受付サーバを更に調査したところ、logdという名称の不審な プロセスが稼働していた。Mさんは、logdのファイルについてハッシュ値を調べたが、情報が見つからなかったので、 マルウェア対策 ソフトベンダーに解析を依頼する必要があるとU課長に伝えた。Webブラウザで図2のURLからlogdのファイルをダウンロードし、ファイルの解析をマルウェア対策ソフトベンダーに依頼することを考えていたが、U課長から、④ダウンロードしたファイルは解析対象として適切ではないとの指摘を受けた。この指摘を踏まえて、Mさんは、調査対象とするlogdのファイルを(f)から取得して、マルウェア対策ソフトベンダーに解析を依頼した。解析の結果、暗号資産マイニングの実行プログラムであることが分かった。

 調査を進めた結果、工場LANへの侵害はなかった。Webアプリのログ調査から、受付 サーバのWebアプリが使用しているライブラリに脆弱性が存在することが分かり、これが悪用されたと結論付けた。システムの復旧に向けた計画を策定し、過去に開発されたアプリ及びネットワーク構成を セキュリティの観点で見直すことにした。

 

 

www.youtube.com

下線③について、Aレコードではこのような攻撃ができないが、TXTレコードではできる。TXTレコードではできる理由を、DNSプロトコルの仕様を踏まえて30字以内で答えよ。:任意の文字列がセットできるため

確認したところ、③機器の起動時にDNSリクエストを発行して、ドメイン名△△△.comのDNS サーバからTXTレコードのリソースデータを取得し、リソースデータの内容をそのままコマンドとして実行するcronエントリーが仕掛けられていた。
DNSのテキストレコードとは

フォーマット上は任意の文字情報を入れることが可能である。

これらはなりすましメール対策の情報として使えるものをセットする用途で使うことあります。

DNSのAレコードとは

DNSに関する知識を復習する必要があったので、昔DNSのトラブルの際に購入したこの本を読み直すとよい。安全確保支援士受験者も買って読んでいるとのこと。

村山さんのセミナーでも話していたが、この内容はネスペに特化した知識が必要となるため、どこまで時間をかけるかは、受験する季節によって増減してもいいかもしれない。

ただし、シラバス上はこのあたりの知識まで求められるので、わからない用語などあれば、その都度深めに勉強しておくとよいと感じる

シラバス

https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf

 

下線④について、適切ではない理由を30字以内で答えよ。:URLにあるlogdと受付サーバにあるlogdが異なる可能性があるから

Webブラウザで図2のURLからlogdのファイルをダウンロードし、ファイルの解析を マルウェア対策 ソフトベンダーに依頼することを考えていたが、U課長から、④ダウンロードしたファイルは解析対象として適切ではないとの指摘を受けた。

課長の視点で考えると、部下は

受付サーバを更に調査したところ、logdという名称の不審な プロセス

受付サーバにある「logdのファイル」ではなく、図2のURLから持ってこようとしています。最新版を取得しようとしたという行動をとろうしたがいいか?と考えると説きやすいです。現場で起きたことは現場の犯人の証拠をつけないとにげられてしまうので、

受付サーバで動いているブツを検挙するのが正解です

次の問題のヒントになっていますね。

f:受付サーバ

Mさんは、調査対象とするlogdのファイルを(f)から取得して、マルウェア対策ソフトベンダーに解析を依頼した。解析の結果、暗号資産マイニングの実行プログラムであることが分かった。

URL以外から取得となるといったいどこからとるんでしょうね・・・

受付サーバにある「logdのファイル」かURLにあるファイルかしか選択肢がないようにおもえるので、fにいれるものがわかると自然とその前の問題も正解できるという流れになっています。

 

 

www.youtube.com

 

aolaniengineer.com

div #breadcrumb div{ display: inline;font-size:13px;}