HOME»情報処理安全確保支援士掲示板»令和元年 秋 午後1 問3 設問3 (1)
投稿する

令和元年 秋 午後1 問3 設問3 (1) [1408]

 ハラさん(No.1) 
回答は "IPアドレスw1.x1.y1.z1との通信履歴" となっているのですが、

その通信があればその時点でPサービスから通知があるのでは?と思ったのですが、

その通信が検知されない可能性があるのでしょうか。
2024.03.14 18:08
pixさん(No.2) 
SC ダイヤモンドマイスター
本設問はSCの設問のなかでも理由が不明確なものの一つです。
確実な理由は分かっていません。
そのなかでも以下の2つが有力な理由として考えられています。

1.PサービスにC&CサーバのIPアドレスが登録される前の可能性
PサービスにC&CサーバのIPアドレスは初めから登録されているわけではなく、
マルウェアが特定された後に登録されるものと考えられます。
それ以前のC&Cサーバとの通信はPCシステムで監視されていないと考えられます。

2.Pサービス導入前の可能性
P16には、「Pサービスを導入して数週間が経過」とあります。
裏を返せばPサービスが導入されてそれほど日がたっていないということです。
Pサービス導入前にマルウェアに感染し、C&Cサーバと通信した可能性も考えられます。
2024.03.14 18:53
 ハラさん(No.3) 
ご回答いただきありがとうございます。

>1.PサービスにC&CサーバのIPアドレスが登録される前の可能性

たしかに、P16表1にもわざわざ「ただし、FWのログは蓄積しない。過去に遡っての分析は行わない。」とまで書いてるのでこれもヒント?みたいにはなっているかもしれませんね。。。

>2.Pサービス導入前の可能性

その可能性は完全に盲点でしたし、その記述を踏まえると納得できますね。

改めましてご回答ありがとうございました!
2024.03.15 08:49
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop