平成30年度 秋期 情報処理安全確保支援士試験 午後Ⅱ問2過去問題解説 ‐サクラ先輩とモモちゃんの セキュリティ演習おもちゃ図面流出事件の謎
Автор: 【過去問10年分】情報処理技術者試験解説チャンネル
Загружено: 2026-02-06
Просмотров: 28
Описание:
平成30年度秋期 情報処理安全確保支援士試験 午後Ⅱ 問2の過去問解説動画です。本問は、マルウェア感染を発端とした情報漏えい事案を題材に、インシデントレスポンスの一連の流れを追体験できる良問です。プロキシログやサーバの認証ログを読み解き、攻撃者の侵入経路や横展開(ラテラルムーブメント)の手口を特定する実践的な調査能力が問われます。CSIRTの役割や証拠保全の基礎もしっかり押さえましょう。
この問題を通じて習得すべき重要な概念は、組織的なインシデント対応体制の構築から技術的なログ解析手法まで多岐にわたります。まず理解しておくべきはCSIRTの機能であり、インシデント発生時の事後対応だけでなく、平時における脆弱性情報の収集や共有、組織内の教育と意識向上といった事前対策も重要な責務に含まれるという点です。実際にインシデントが発生した際には、正確な状況把握のためにログ管理が鍵となりますが、ここで特に注意が必要なのがタイムゾーンの統一です。プロキシサーバやファイアウォール、業務サーバなど複数の機器のログを相関分析する際、それぞれの機器が日本時間(JST)で記録しているか協定世界時(UTC)なのかを把握していなければ、事象の因果関係を見誤り、誤ったタイムラインを作成してしまう危険性があります。具体的なログ解析のスキルとして、HTTP通信におけるメソッドの理解も不可欠です。マルウェアはC&Cサーバ(指令サーバ)と通信を行う際、HTTPプロトコルを悪用してファイアウォールを通過しようと試みます。このとき、攻撃者の指令を受け取るためにGETメソッドを、盗み出した情報を送信するためにPOSTメソッドを使用するなど、通信の方向性と内容をプロキシログから読み取る力が求められます。また、不審な通信を行っている端末を特定した後の初動対応として、揮発性情報の保全という考え方も重要です。感染したPCの電源を不用意に切断すると、メモリ上に残っている実行中のプロセス情報や確立されたネットワーク接続情報などが失われてしまうため、まずはLANケーブルを抜いてネットワークから隔離し、その状態でメモリダンプを取得することが推奨されます。さらに、攻撃者が最初の感染端末を踏み台にして内部ネットワークの深部へと侵攻するラテラルムーブメントの痕跡を追う能力も試されます。LinuxサーバなどのOSログに残るログイン成功履歴(lastコマンド)やログイン失敗履歴(lastbコマンド)を分析し、短時間に大量の認証失敗が記録されていれば、それは自動化ツールを用いた総当たり攻撃(ブルートフォース攻撃)が実行された証拠となり得ます。最終的に、これらの断片的なログ情報を時系列順に整理してタイムラインを構築し、攻撃者がいつ侵入し、どの程度の期間潜伏して内部探索を行い、いつ情報を持ち出したのかというインシデントの全貌を明らかにすることが、的確な封じ込めと再発防止策の立案には欠かせません。
Повторяем попытку...
Доступные форматы для скачивания:
Скачать видео
-
Информация по загрузке:
