令和3年度 秋期 午後1 問3 PCのマルウェア対策

Uncategorized
2024.06.13

設問1
(1)
LANから切り離す。(10字)
もはや定番の解答。
マルウェアを該当のPCに封じ込め、感染拡大の防止のため
なるべく早い段階でLANから切り離すことが重要。

(2)
ディスクイメージ(8字)
初見でメモリダンプと記述した方もいるのではないでしょうか(私です)
ディジタルフォレンジックスの観点からして、揮発性の高いデータから取得していくのが定石ですが
日付に注目してみると、12月9日のアクセスログ調査中に12月6日にPC-Gをアクセス元とする不正アクセスの痕跡を見つけたようです
つまり3日間経過しているので、PC-Gは少なくとも一度はPC-Gをシャットダウンしていると思われます
シャットダウンするとメモリの情報は失われてしまうので、12月9日にメモリダンプを取っても
時すでに遅しかと思われます。仮にシャットダウンしていなくとも3日も経過しているので
メモリ上の情報に有益な情報は残っていないとも考えられるのかなと思いました。
となると、取得すべきはディスクイメージとなります。
※ディスクイメージ
HDD等の記憶装置の中身を丸々コピーしたもの
追記
PCがシャットダウンされたかどうかは明示されていませんが
仮にシャットダウンされていなかったとしても
3日も経っていればメモリ上に有益な情報は残っていない、という考え方も良いと思いました。

(3)
a:最新のマルウェア定義ファイルを保存したDVD-Rの使用(27字)
b:マルウェア定義ファイルの更新(14字)
c:マルウェア対策ソフトの画面の操作(16字)
bについて(個人的にbからの方が考えやすい)
PC-G(他のPC含む)に何かしらした後に、フルスキャンをしたいらしい
フルスキャンとは最新のマルウェア定義ファイルを用いて
全てのファイルをチェックし、マルウェアに感染していないかをチェックする
フルスキャンの前に定義ファイルに更新が来ていたら、最新のモノに更新する。
aについて
bが分かったのでその方法を検討する
aはPC-Gの更新方法が入るが、PC-GはLANから切り離されている事を念頭に置く
問題文によると、マルウェア対策ソフトはネットワーク経由でHTTPSを用いて
定義ファイルを自動更新(手動も可)できるとあるが、PC-Gはネットワークから切り離されている
さらに読み進めるとDVD-Rを用いて更新できる とあるので、この方法で更新する。
cについて
PC-G以外のPCはインターネットに接続できるので
マルウェア対策ソフトを操作して、手動で定義ファイルを更新する という方法が考えられる。

(4)
Q社内の全てのPC及びサーバからのアクセス(21字)
現状ではPC-Gをアクセス元とするログしか調査していないが
他のPCやサーバからもCリストのURLにアクセスしている可能性もあるので
全てのPC、サーバ分のログも調査する必要がある。


設問2
(1)
項番:3 送信元:総務部LAN、営業部LAN
項番:4 送信元:技術部LAN
超々サービス問題、そのまんますぎて書くことが無い…

(2)
・d: V社配布サイトのURL
・e: 全て
サーバLANとインターネットとの通信を運用に必要な最低限の通信だけにしたいとのこと
運用に必要な通信はマルウェア定義ファイルの更新のみで、これを許可リストに設定し
拒否リストに全てと入れることで、最低限の通信を実現できる。

設問3
(1)
登録した実行ファイルがバージョンアップされた場合(24字)
バージョンアップ等で実行ファイルに変更が生じると、当然ハッシュ値も変わるので
変更が生じる度にハッシュ値の登録変更が必要になる。
初見は「登録した実行ファイルに変更が生じた場合」と記述したが
バージョンアップは思いつかなかった、部分点くれるかな???

(2)
登録した実行ファイルのマクロとして実行されるマルウェア(27字)
ちょっと前にEmotetというマルウェアが大流行した
これはWordやExcelのマクロとして動作するもので、マクロウィルスとも呼ばれる
このタイプは実行ファイルではなくマクロなので、Yソフトでは実行を禁止できない
マクロウィルスの実行を禁止したいのであれば、WordやExcel自体を禁止する他ない。


感想
初見でも高得点を狙える問題
設問3は解答をみてなるほどと考えさせられた
マルウェアの初期対応から事後対応までを学べる良問だと思いました。

コメント

タイトルとURLをコピーしました