【情報処理安全確保支援士】令和3年度秋季試験午後Ⅰ問3【YouTube解説動画あり】

情報処理安全確保支援士
スポンサーリンク

情報処理安全確保支援士 令和3年度 秋季試験 午後Ⅰ 問3の問題解説を行っていきます。

出題テーマ:マルウェア感染

出題テーマは『マルウェア感染』です。

マルウェア感染を予防すること、発覚した場合の対処方法について出題されています。

感染した場合の初動は何をするか、ファイアウォールの設定などの情報処理安全確保支援士においては常識とも言える問題が出題されています。

一部知識が必要な問題も出題されていますが、常識問題や文章中のヒントから回答することができる問題で合格ラインを狙える問題だったかと思います。

設問1 (1)

下線部としては『マルウェア感染拡大防止のためのPC-Gの初動対応』とあります。

これは、マルウェアに感染したことが発覚した場合に一番最初に行うべきこととしては、ネットワークからそのPCを切り離すことです。

よって解答例としては『ネットワークから切り離すこと(14文字)』と解答することができます。

感染した場合の初動については、常識的な知識になっているかと思います。

また、現実的にもインフルエンザや某ウイルスに感染した場合は数日間の自宅やホテルで隔離となりますので、この点からも感染拡大の防止につながるということがイメージしやすいかと思います。

設問1 (2)

この問題は知識が必要となる問題です。

ディジタルフォレンジックスはログなどを法的証拠として残す行為のことを指します。

ウィルスやマルウェアに感染したPCの場合は、マルウェアに感染したということをディスクを丸ごと保管することで行いたいのですが、物理的に行ってしまうとPCが使えなくなってしまうので、ハードディスクやSSDを『ディスクイメージ』として残します。

Windowsなどでもバックアップの際にディスクイメージを作成します。

ディスクイメージと聞くと『』と思い浮かべる方も多いかもしれませんが、『ISO』、『イメージファイル』と聞くとピンと来る方もいらっしゃるかもしれません。

作成したディスクイメージやイメージファイルを検証用のPCに再現構築し、解析などを行うことができます。

解答としては『ディスクイメージ(8文字)』や『イメージファイル(8文字)』となります。

設問1 (3)

重要な部分として、『【a】という方法を使って【b】した後に、フルスキャンを実施するようEさんに指示した。』とあります。

貸与しているPCで、【c】という方法を使って【b】した後に、フルスキャンを実施する。』ともあります。

【a】と【c】には方法で、【b】には共通の動作が入ると考えることができます。

順番は前後しますが、【b】から考えていきます。

フルスキャンはマルウェア・ウィルス対策ソフトなどで用いられる言葉ですので、V社のマルウェア対策ソフトで何かしていると考えることができます。

マルウェア対策ソフトはマルウェア定義ファイルをもとにスキャンを行いますので、スキャンを行う前にマルウェア定義ファイルを最新にする必要があると考えることができます。

ということで【b】に入れるべきは『マルウェア定義ファイルの更新(14文字)』と解答することができます。

【a】と【c】にはマルウェア定義ファイルを更新する方法が入ると考えることができます。

マルウェア定義ファイルは、PCでは起動時及び毎朝9時に、サーバでは毎朝9時に、自動でV社のマルウェア定義ファイル配布サイト(以下、V社配布サイトという)にHTTPSで接続し、更新している』とあり、マルウェア定義ファイルは基本的には決まったタイミング・時間に自動で更新されます。

今回は『Eさんが、10時40分にGさんに電話で問い合わせたところ』とあるように9時もしくはPCの起動は行われていますが、この間にマルウェア定義ファイルが更新されている可能性があります。

自動更新ではなく手動でマルウェア定義ファイルを更新する方法は2通りあり、どちらも問題文中に記載があります。

PCの利用者及びサーバの管理者は、マルウェア対策ソフトの画面の操作によってマルウェア定義ファイルを手動で更新することもできる。』と記載があります。

また、『別のPCを用いてマルウェア定義ファイルをV社配布サイトから手動でダウンロードし、そのファイルを保存したDVD-Rを用いて更新することもできる。』とも記載があります。

それでは、【a】について考えていきます。

【a】はPC-Gにて行っています。

PC-Gはマルウェア感染の疑いがあり、LANから切り離されており、インターネットには接続できない状態にあります。

なので、DVD-Rを用いる方法にて更新する必要がありますので、『最新のマルウェア定義ファイルを保存したDVD-Rを用いる(28文字)』と解答することができます。

【c】について考えていきます。

【c】はPC-G以外の感染しているかもしれないPC群で、各LANに接続されておりインターネットに接続できる状態にあります。

なので、各自マルウェア対策ソフトの画面を操作して更新すればよいので、『マルウェア対策ソフトの画面の操作(16文字)』と解答することができます。

設問1 (4)

マルウェアXの特徴としては、『マルウェア中のパスワードリストを使って、hostsファイルに登録されている機器へのログインを施行する。』とありますので、hostsファイルの設定がある機器を調査対象とすべきです。

hostsファイルの設定があるのは『Fサーバ1、Fサーバ2及びPCのそれぞれのhostsファイルには、プロキシサーバ、Fサーバ1及びFサーバ2のホスト名とIPアドレスが登録されている。』とありますので、調査対象は全PCと各FTPサーバとなります。

たまたまGさんのPC-Gでマルウェアに感染していることが発覚しましたが、他の人もPソフトをインストールしていてマルウェアに感染している可能性がありますし、サーバも感染をしている可能性があります。

よって解答例としては、『Q社内の全PCと各FTPサーバからのアクセス(22文字)』と解答することができます。

ちなみにhostsファイルはホスト名とIPアドレスと記載があるようにドメイン名の名前解決に用いるファイルです。

通常ドメイン名の名前解決にはDNSサーバへ問い合わせを行いますが、hostsファイルを設定することでまずはDNSサーバではなくhostsファイルに記載されている内容を参照するようになります。

今回のように構成にDNSサーバがない場合や、特定ドメインを意図的にDNSサーバへ問い合わせさせたくない場合などに設定することがあります。

設問2 (1)

重要な部分として『Fサーバ1の利用者を総務部員及び営業部員に、Fサーバ2の利用者を技術部員にそれぞれ振り分けて、FWのフィルタリングルールのうち二つのルールについて、送信元を変更する。』とあります。

この記載どおりにFWルールを変更すればよいので、解答としては『項番3、送信元:総務部LAN、営業部LAN』、『項番4、送信元:技術部LAN』となります。

設問2 (2)

穴埋めすべき表3はサーバLANのURLフィルタリングルールについてです。

サーバLANとインターネットとの間の通信の要件は『Fサーバ1及びFサーバ2がインターネットと通信するのは、マルウェア定義ファイルの更新時だけである。』とあります。

マルウェア定義ファイル配布サイト、つまりは『V社配布サイト』以外のサイトにはアクセスさせたくないと考えることができます。

URLフィルタリングのルールとしては『管理者拒否リストに、”全て”と記載すると、管理者許可リストで許可したURL以外にURLへのアクセスが拒否される。』とあります

なので、管理者許可リストには『d:V社配布サイトのURL』、管理者拒否リストには『e:全て』とすることで、サーバLANからはV社配布サイト以外のサイトにアクセスさせないようにすることができます。

設問3 (1)

下線部としては『ハッシュ値の登録変更が必要になる場合がある。』とあります。

実行ファイルとは拡張子が『.exe』にようなファイルのことを指します。

例としてはソフトウェアのインストーラーであったり、ソフトウェア自体が挙げられます。

重要な部分として、『ファイルのハッシュ値を比較することによって』とあります。

ファイルが異なればハッシュ値が異なることになりますが、ソフトウェアは機能追加や修正などで定期的にバージョンの更新が行われます。

バージョンの更新が行われば、新たにインストールする場合のインストーラーもソフトウェア自体も異なります。

なので解答例としては『登録したファイルのバージョンの更新があった場合(23文字)』と解答することができます。

設問3 (2)

この問題は知識やひらめきが必要な問題だと思います。

WordやExcelなどのマクロ機能を利用したウィルス・マルウェアであるマクロ型ウィルスが考えられます。

実行ファイルである『word.exe』や『excel.exe』自体ではなく、ファイルの中身(データファイル)で活動を行います。

実行ファイルの実行の際にファイル比較を行っても『word.exe』や『excel.exe』は変更されておらずハッシュ値は一緒となりますので、Yソフトで検知することは難しいと考えることができます。

よって解答例としては、『オフィスソフトなどのマクロ機能を利用したマルウェア(25文字)』と解答することができます。

公式解答例との比較

私の解答と公式解答を比較してみました。

満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。

予想配点はあくまで予想ですので参考程度でお願いします。

出題テーマはマルウェア感染で、基本的な内容だったり、文章中のヒントから解答することができる問題が出題されました。

設問1 (2)のディジタルフォレンジックスに関する問題と設問3 (2)のマルウェアのタイプに関する問題は正直難しかったと思います。

総じて、難易度としてはやや易しい~普通だと思います。

設問
解答例
公式解答例
予想
配点
設問1 (1) ネットワークから切り離すこと(14文字) LANから切り離す。 4点
設問1 (2) ディスクイメージ(8文字) ディスクイメージ 3点
設問1 (3) a:最新のマルウェア定義ファイルを保存したDVR-Rを用いる(28文字)
b:マルウェア定義ファイルの更新(14文字)
c:マルウェア対策ソフトの画面の操作(16文字)
a:最新のマルウェア定義ファイルを保存したDVR-Rの使用
b:マルウェア定義ファイルの更新
c:マルウェア対策ソフトの画面の操作
各5点
設問1 (4) Q社内の全PCと各FTPサーバからのアクセス(22文字) Q社内の全てのPC及びサーバからのアクセス 5点
設問2 (1) 項番3、送信元:総務部LAN、営業部LAN
項番4、送信元:技術部LAN
項番3、送信元:総務部LAN、営業部LAN
項番4、送信元:技術部LAN
各3点
設問2 (2) d:V社配布サイトのURL
e:全て
d:V社配布サイトのURL
e:全て
各3点
設問3 (1) 登録したファイルのバージョンの更新があった場合(23文字) 登録した実行ファイルがバージョンアップされた場合 5点
設問3 (2) オフィスソフトなどのマクロ機能を利用したマルウェア(25文字) 登録した実行ファイルのマクロとして実行されるマルウェア 5点

引用元

問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。

YouTube解説動画

タイトルとURLをコピーしました