HOME»情報処理安全確保支援士掲示板»令和元年秋 午後Ⅰ 問3 設問3 (2) について
投稿する
»[1330] 平成30年春 午後II 問1 設問4(1) 投稿数:3
»[1329] 午後問題ってどうやって取捨選択してますか? 投稿数:2
令和元年秋 午後Ⅰ 問3 設問3 (2) について [1332]
wrinklyさん(No.1)
令和元年秋 午後Ⅰ 問3 設問3(2) ですが、
IPAの模範解答は、
「感染したが、C&Cサーバと通信する前にネットワークから切り離された状態」
となってました。
私は、
「エージェントによりマルウェアの実行が禁止されている状態」
としました。
表1 のRシステムの概要に
「J社が社内外からマルウェアのハッシュ値を入手し、管理サーバに登録すると、
エージェントプログラムは、そのマルウェアの実行を禁止する。」
とあるので、マルウェアに感染してもエージェントプログラムが実行を禁止
すれば、FWのログを使った確認では検知できないと考えたのですが、
これは間違いでしょうか?
IPAの模範解答は、
「感染したが、C&Cサーバと通信する前にネットワークから切り離された状態」
となってました。
私は、
「エージェントによりマルウェアの実行が禁止されている状態」
としました。
表1 のRシステムの概要に
「J社が社内外からマルウェアのハッシュ値を入手し、管理サーバに登録すると、
エージェントプログラムは、そのマルウェアの実行を禁止する。」
とあるので、マルウェアに感染してもエージェントプログラムが実行を禁止
すれば、FWのログを使った確認では検知できないと考えたのですが、
これは間違いでしょうか?
2024.01.31 17:55
pixさん(No.2)
★SC ダイヤモンドマイスター
スレ主様の解答:「エージェントによりマルウェアの実行が禁止されている状態」
は間違いと考えられます。
本設問は国語の問題です。
P18 E部長:「13:17:15より前の、ログ蓄積サーバのFWのログに・・・」
とあります。
ここから調査すべき時点は13:17:15より前と判断できます。
P17 表2「14:58 マルウェアMのハッシュ値を管理サーバに登録した。」
とあります。
ここから、13:17:15より前の時点はマルウェアMのハッシュ値は未登録であったと
読み取れます。
これらの状況から、以下スレ主様の推論は成り立たないことになります。
は間違いと考えられます。
本設問は国語の問題です。
P18 E部長:「13:17:15より前の、ログ蓄積サーバのFWのログに・・・」
とあります。
ここから調査すべき時点は13:17:15より前と判断できます。
P17 表2「14:58 マルウェアMのハッシュ値を管理サーバに登録した。」
とあります。
ここから、13:17:15より前の時点はマルウェアMのハッシュ値は未登録であったと
読み取れます。
これらの状況から、以下スレ主様の推論は成り立たないことになります。
>マルウェアに感染してもエージェントプログラムが実行を禁止
>すれば、FWのログを使った確認では検知できないと考えたのですが、
>これは間違いでしょうか?
2024.01.31 18:47
Nさん(No.3)
PC又はサーバーの状態、と聞かれてますのでネットワークに接続されていない状態や電源OFFといった状態を答えるのがいいんじゃないでしょうか。
すみません、電源OFFがいいかはわかりません。
素人意見です。
すみません、電源OFFがいいかはわかりません。
素人意見です。
2024.01.31 18:48
wrinklyさん(No.4)
pixさん、Nさん コメントありがとうございます。
発生した事象を時系列に追うという基本ができていませんでした。
まだまだ修行が足りませんね。
ありがとうございました。
>ここから、13:17:15より前の時点はマルウェアMのハッシュ値は未登録であったと
>読み取れます。
>
>これらの状況から、以下スレ主様の推論は成り立たないことになります。
発生した事象を時系列に追うという基本ができていませんでした。
まだまだ修行が足りませんね。
ありがとうございました。
2024.02.01 10:18
その他のスレッド
»[1331] XMLデジタル署名について 投稿数:3»[1330] 平成30年春 午後II 問1 設問4(1) 投稿数:3
»[1329] 午後問題ってどうやって取捨選択してますか? 投稿数:2