HOME»情報処理安全確保支援士掲示板»令和元年度秋午後Ⅰ問2設問1(4)
投稿する

令和元年度秋午後Ⅰ問2設問1(4) [1431]

 minさん(No.1) 
解答は「イ、ウ」ですが、「ア」のマルウェアに感染した日時情報も他社にとって有効な情報だと思ったので、なぜアが解答にならないか解説いただけますと幸いです。

図3に記載の通り、マルウェアPとマルウェアRは同じ日に発生しているので、例えば同じ20XX11月18日に自社では感染していないか確認等、参考になると思いまして。
問題文をどこか見落としていたらすみません。
2024.03.21 11:31
pixさん(No.2) 
SC ダイヤモンドマイスター
>図3に記載の通り、マルウェアPとマルウェアRは同じ日に発生しているので、
>例えば同じ20XX11月18日に自社では感染していないか確認等、参考になると思いまして。
>問題文をどこか見落としていたらすみません。
P12 設問1 (4)
「・・・、他社がEDRなどセキュリティ対策ソフトェアまたはセキュリティ機器を用いて
感染端末を検出する際に有効であり、・・・」
とあります。
これはEDRの検出パターンや、WAFのブラックリストに登録するための情報として
有効なものはなにかを解答することになります。

スレ主様の「「ア」のマルウェアに感染した日時情報」は単なるインフォメーションです。
EDRやWAFに設定する情報ではありません。
2024.03.21 11:40
 minさん(No.3) 
pixさま、ご回答ありがとうございます。
なるほど、EDFやWAFに設定する際の参考情報としての意味ですね。

すみません、続けて質問になってしまうのですが、上記の場合、「イ」のグローバルIPアドレスMについてはWAFのブラックリスト設定で該当IPアドレスを設定する等、イメージがわくのですが、

「ウ」のフォルダNのパス名については検出にどのように利用されるのでしょうか。EDRの検出パターンに用いられるのでしょうか。あまりイメージできていなく。。
2024.03.21 12:08
pixさん(No.4) 
SC ダイヤモンドマイスター
>「ウ」のフォルダNのパス名については検出にどのように利用されるのでしょうか。
>EDRの検出パターンに用いられるのでしょうか。あまりイメージできていなく。
フォルダNの配下で怪しいプロセスが動作していないかを検出するための
情報となります。

『「キ」マルウェアのファイル名』も情報として使えそうですが、
図2 E)(あ)「挙動は同じだが攻撃対象ごとにコードの一部とファイル名を変更した
マルウェアの亜種を送付することもある。」とあります。
そのため、ファイル名は判断するための情報して、信頼性が不足しています。
2024.03.21 12:23
 minさん(No.5) 
早速のご回答ありがとうございます。ファイル名についてはおっしゃる通りですね。
度々すみません、下記についてはEDRの機能として検出しているイメージでしょうか。

> フォルダNの配下で怪しいプロセスが動作していないかを検出するための
> 情報となります。
2024.03.21 12:28
pixさん(No.6) 
SC ダイヤモンドマイスター
>早速のご回答ありがとうございます。ファイル名についてはおっしゃる通りですね。
>度々すみません、下記についてはEDRの機能として検出しているイメージでしょうか
はい。EDRはサーバやPC内で不審な挙動をしているプロセスやサービスを
検知するものです。
2024.03.21 12:36
 minさん(No.7) 
ご回答ありがとうございます。理解しました。
2024.03.21 12:41
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop