マルウェアによる初期調査・探索活動で実行されるコマンドとその目的【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問2】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問2

問3 標的型攻撃への対応に関する次の記述を読んで、設問1〜3に答えよ。

(略)

【セキュリティインシデントの検知と対応

 PサービスとRシステムを導入して数週間が経過した20XX年10月8日、C&Cサーバへの通信を検知したという通知をPサービスから受け、Gさんは図2の手順に従って対応した。Gさんによるインシデント対応の記録を表2に示す。

f:id:aolaniengineer:20200606082443p:plain

f:id:aolaniengineer:20200606082509p:plain

 Gさんは、ここまでの対応を報告書にまとめて、E部長に提出した。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1問3】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf

表3中の(a)〜(d)に入れる適切なものを解答群の中から選び、記号で答えよ。

解答群

 ア L-PCからその時点で接続可能な端末の一覧を取得する。(d)

 イ L-PC内で悪用できる脆弱性を確認するために、OSのバージョンや脆弱性修正プログラムの適用状況を確認する。(b)

 ウ L-PCのIPアドレス、MACアドレスなどネットワークアダプタの詳細な情報を取得する。(a)

 エ L-PCの秘密情報を含んだファイルを暗号化する。

 オ 実行中のプロセス一覧を取得し、マルウェアの解析環境でないか確認する。(c)

表3中のコマンドはwindowsのコマンドです。

(a)の「ipconfig /all」は、IP通信に関する詳細なネットワーク設定を表示するもので、具体的には、ネットワークアダプタごとのIPアドレス、MACアドレス、サブネットマスク、デフォルトゲートウェイなどが表示されます。

(b)の「systeminfo」は、コンピュータの構成や設定情報を表示するもので、具体的には、OSのバージョン、プロセッサ、メモリ、BIOSのバージョン、ネットワークカード、OSの脆弱性修正プログラムの適用状況(ホットフィックス)などが表示されます。この情報を基に、L-PC内で悪用できる脆弱性を確認します。

(c)の「tasklist」は、実行中のプロセスを表示するもので、具体的には、プロセス名、プロセスID、メモリ使用量などが表示されます。この情報を基に、L-PCがマルウェアの解析環境でないかを確認します。

(d)の「net view」は、ネットワーク設定で共有設定になっているコンピュータやリソースの一覧が表示されます。この情報を基に、L-PCから接続可能な端末を確認します。

Follow me!