マルウェアによる初期調査・探索活動で実行されるコマンドとその目的【情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問2】
情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問2
【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3(一部、加工あり)】
【セキュリティインシデントの検知と対応】
PサービスとRシステムを導入して数週間が経過した20XX年10月8日、C&Cサーバへの通信を検知したという通知をPサービスから受け、Gさんは図2の手順に従って対応した。Gさんによるインシデント対応の記録を表2に示す。
Gさんは、ここまでの対応を報告書にまとめて、E部長に提出した。
表3中の(a)〜(d)に入れる適切なものを解答群の中から選び、記号で答えよ。
解答群
- L-PCからその時点で接続可能な端末の一覧を取得する。(d)
- L-PC内で悪用できる脆弱性を確認するために、OSのバージョンや脆弱性修正プログラムの適用状況を確認する。(b)
- L-PCのIPアドレス、MACアドレスなどネットワークアダプタの詳細な情報を取得する。(a)
- L-PCの秘密情報を含んだファイルを暗号化する。
- 実行中のプロセス一覧を取得し、マルウェアの解析環境でないか確認する。(c)
表3中のコマンドはwindowsのコマンドです。
(a)の「ipconfig /all」は、IP通信に関する詳細なネットワーク設定を表示するもので、具体的には、ネットワークアダプタごとのIPアドレス、MACアドレス、サブネットマスク、デフォルトゲートウェイなどが表示されます。
(b)の「systeminfo」は、コンピュータの構成や設定情報を表示するもので、具体的には、OSのバージョン、プロセッサ、メモリ、BIOSのバージョン、ネットワークカード、OSの脆弱性修正プログラムの適用状況(ホットフィックス)などが表示されます。この情報を基に、L-PC内で悪用できる脆弱性を確認します。
(c)の「tasklist」は、実行中のプロセスを表示するもので、具体的には、プロセス名、プロセスID、メモリ使用量などが表示されます。この情報を基に、L-PCがマルウェアの解析環境でないかを確認します。
(d)の「net view」は、ネットワーク設定で共有設定になっているコンピュータやリソースの一覧が表示されます。この情報を基に、L-PCから接続可能な端末を確認します。