HOME»情報処理安全確保支援士掲示板»令和4年秋午後Ⅱ問2設問3
投稿する

令和4年秋午後Ⅱ問2設問3 [1459]

 syotaさん(No.1) 
表題の問題の解答について、
Vソフトのデータファイルが読み込まれた後に、1分以内に、パス名が同一のファイルが上書きされた。
とありますが、「パス名が同一」である必要性がわからないです。

マルウェアβの動作は表5,3項の記述から下記と認識しています。また、P社が静的解析を実施した結果、表5,3項の裏付けがある旨も記載されています。
ファイル利用履歴の中からマクロ埋込可能なファイルを選んで開き、マルウェアβをマクロに埋め込んで保存する。

図4の5月19日からの事例のみで言えば、確かに感染拡大したファイルはドライブ直下のパス名(\)のみです。
しかし、問題の趣旨は、マルウェアβと同じ手段による感染拡大を検知するルールです。
仮にファイル利用履歴に下記のようなファイルがあり感染先に選ばれた場合、「パスが同一」のルールがあると感染拡大を検知できないはずです。
‪C:\Users\PC2\Documents\file9.v

もし何か前提の見落としや、合理的な理由があればご教示ください。
もしくは、IPAの解答が全てと受け入れる他ないでしょうか。
2024.03.29 01:38
pixさん(No.2) 
SC ダイヤモンドマイスター
>しかし、問題の趣旨は、マルウェアβと同じ手段による感染拡大を検知するルールです。
>仮にファイル利用履歴に下記のようなファイルがあり感染先に選ばれた場合、
>「パスが同一」のルールがあると感染拡大を検知できないはずです。
‪>C:\Users\PC2\Documents\file9.v
すみませんが、なぜ「パスが同一」だと
「C:\Users\PC2\Documents\file9.v」
の感染拡大を検知できないと考えたのでしょうか。
このファイルが読み込まれて、1分以内に書き込まれれば検知されると
思われます。

>もし何か前提の見落としや、合理的な理由があればご教示ください。
>もしくは、IPAの解答が全てと受け入れる他ないでしょうか。
もし、「パスが同一」というルールがないと
・「E:¥file1.v -> C:\file1.v」のようなファイルをコピー
しただけで検知されてしまう。
「E:¥file1.v」と「C:\file1.v」はパス名(ドライブ)は違うが
ファイル名は同じなので、「E:¥file1.v」を読み込んで、
「C:\file1.v」を書き込むと検知されてしまう。
・「E:¥file1.v」と「C:\file1.v」の2のファイルが
あった場合、正規の操作で「E:¥file1.v」が読み込まれた時に
1分以内に「C:\file1.v」を書き込むと検知されてしまう。
などが想定されます。
2024.03.29 06:48
syotaさん(No.3) 
回答ありがとうございます。

> なぜ「パスが同一」だと「C:\Users\PC2\Documents\file9.v」の感染拡大を検知できないと考えたのでしょうか。

下記の様に検出ルールとファイルの関係と勘違いしていました。
Vソフトのデータファイル(感染ファイル)が読み込まれた後に、1分以内に、パス名が同一のファイル(感染先ファイル)が上書きされた。

感染ファイル: C:\file3.v
感染先ファイル: C:\Users\PC2\Documents\file9.v
とした場合、パス名が同一でないので感染拡大の検知が出来ないと思っていました。

実際の検出ルールとファイルの関係は下記であると理解できました。
Vソフトのデータファイル(感染先ファイル)が読み込まれた後に、1分以内に、パス名が同一のファイル(感染先ファイル)が上書きされた。
2024.03.30 23:54
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop