【情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2 No.3】

情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2（一部、加工あり）】

[運用サービスの利用]
 K社は、マルウェアをより早期に検知するために有効かどうかを確認しようと考え、表4のサービスについての当初の方針を変えて、3か月ほど試験的にP社の運用サービスと監視サービスを利用することにした。P社は、まず、④マルウェアβと同じ手段による感染の拡大を検知するための検知ルールを作成して製品Cに登録した。その後2週間、Vソフトの正常なデータファイルを開くといった、PCの通常利用に起因する誤検知が起きないか確認を続けた。
 サービス利用開始から1か月後、ある従業員がメールに添付されていたVソフトのデータファイルを開いて、マクロを実行した直後にマルウェアβの亜種を検知することができた。さらに、E体制のメンバーが直ちに必要な対応を指示することによって被害の拡大も防ぐことができた。

下線④について、作成した検知ルールを60字以内で答えよ。：Vソフトのデータファイルが読み込まれた後に、1分以内に、パス名が同一のファイルが上書きされた。

「P社は、まず、④マルウェアβと同じ手段による感染の拡大を検知するための検知ルールを作成して製品Cに登録した。」
 「マルウェアβと同じ手段」について、表5（P社による推測）から確認します。

 マルウェアβの事象として、発生順序3項に「ファイル利用履歴の中から選ばれたと思われるfile2.vというファイルが開かれ、マルウェアβがマクロとして埋め込まれた後、直ちに上書き保存された。」があり、Vソフトのデータファイルが開かれ、同名で直ちに上書きされていることが特筆できることでしょう。
 また、検知ルールについては、図2（検知ルールの仕様）、図3（製品Cの製品出荷時に組み込まれている検知ルール）を確認します。

 検知ルールの記載方法としては、図3のルール5「何らかのファイルが読み込まれた後、1分以内に、同一のサイズのファイルがHTTPでアップロードされた。」を参考にできそうです。
 「何らかのファイル」は「Vソフトのデータファイル」、「1分以内」は図4（製品Cが記録したPC1〜3のイベント（抜粋））から同じく「1分以内」、「同一のサイズのファイルがHTTPでアップロードされた」は「パス名が同一のファイルが上書きされた」を組み合わせて回答できそうです。