マルウェアによる初期調査・探索活動で実行されるコマンドとその目的【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問2】

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問2

【出典：情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3（一部、加工あり）】

【セキュリティインシデントの検知と対応】
　PサービスとRシステムを導入して数週間が経過した20XX年10月8日、C&Cサーバへの通信を検知したという通知をPサービスから受け、Gさんは図2の手順に従って対応した。Gさんによるインシデント対応の記録を表2に示す。

　Gさんは、ここまでの対応を報告書にまとめて、E部長に提出した。

表3中の（a）〜（d）に入れる適切なものを解答群の中から選び、記号で答えよ。

解答群

• L-PCからその時点で接続可能な端末の一覧を取得する。（d）
• L-PC内で悪用できる脆弱性を確認するために、OSのバージョンや脆弱性修正プログラムの適用状況を確認する。（b）
• L-PCのIPアドレス、MACアドレスなどネットワークアダプタの詳細な情報を取得する。（a）
• L-PCの秘密情報を含んだファイルを暗号化する。
• 実行中のプロセス一覧を取得し、マルウェアの解析環境でないか確認する。（c）

　表3中のコマンドはwindowsのコマンドです。
　（a）の「ipconfig /all」は、IP通信に関する詳細なネットワーク設定を表示するもので、具体的には、ネットワークアダプタごとのIPアドレス、MACアドレス、サブネットマスク、デフォルトゲートウェイなどが表示されます。
　（b）の「systeminfo」は、コンピュータの構成や設定情報を表示するもので、具体的には、OSのバージョン、プロセッサ、メモリ、BIOSのバージョン、ネットワークカード、OSの脆弱性修正プログラムの適用状況（ホットフィックス）などが表示されます。この情報を基に、L-PC内で悪用できる脆弱性を確認します。
　（c）の「tasklist」は、実行中のプロセスを表示するもので、具体的には、プロセス名、プロセスID、メモリ使用量などが表示されます。この情報を基に、L-PCがマルウェアの解析環境でないかを確認します。
　（d）の「net view」は、ネットワーク設定で共有設定になっているコンピュータやリソースの一覧が表示されます。この情報を基に、L-PCから接続可能な端末を確認します。