HOME»情報処理安全確保支援士掲示板»令和元年秋季 午後Ⅱ 問1 設問1(1)について
投稿する

令和元年秋季 午後Ⅱ 問1 設問1(1)について [1493]

 合格したい男さん(No.1) 
令和元年秋季 午後Ⅱ 問1 設問1(1)の模範解答に対して、
自分の解答が「正規の利用者であるS社開発チームから遠隔コマンド実行機能で不正にダウンロードしたスクリプトファイル等を削除され、マルウェアXを駆除されることを想定した」でしたが、これはIPAからバツにされちゃうでしょうか?
2024.04.05 22:47
pixさん(No.2) 
SC ダイヤモンドマイスター
>自分の解答が「正規の利用者であるS社開発チームから遠隔コマンド実行機能で
>不正にダウンロードしたスクリプトファイル等を削除され、マルウェアXを
>駆除されることを想定した」でしたが、これはIPAからバツにされちゃう
>でしょうか?
大変恐縮ですが、この解答で点を付けられると思われる箇所がありません。
ポート6379/tcpをブロックするのは、ポート6379/tcpから侵入してくる他の
マルウェアXの阻止です。
逆に言えば6379/tcpから侵入するのはマルウェアXしかないです。
S社開発チームならば、普通にこのサーバにログインしてマルウェアXを
駆除すればよいです。
2024.04.05 23:14
 合格したい男さん(No.3) 
回答ありがとうございます。
ですが、問題文には「開発チームは、S社開発用LANのPCから、DBMS-Rのデータベースを参照・更新したり、ネットワーク経由で外部からDBMS-Rを通してOSコマンドを実行する機能(以下、遠隔コマンド実行機能という)を利用したりするために、急きょ、サーバAのポート6379/tcpを開放した。」と記載されているため、
S社開発用LANのPCからサーバAのポート6379/tcpにアクセスして、遠隔コマンド実行機能を利用することで、マルウェアXを駆除することはできないでしょうか?
2024.04.05 23:30
pixさん(No.4) 
SC ダイヤモンドマイスター
>S社開発用LANのPCからサーバAのポート6379/tcpにアクセスして、
>遠隔コマンド実行機能を利用することで、マルウェアXを駆除する
>ことはできないでしょうか?
そういう意味であれば、やってできないことはないと思われます。
しかし、わざわざ不便な遠隔コマンド実行機能を使わなくとも
FWルールから判断するにsshでリモートログインして、マルウェアXを
削除すればよいかと思われます。

前の回答を一部訂正いたします。
6379/tcpから侵入してくる可能性があるのはマルウェアXだけではなく
ほかのマルウェアの可能性もあります。
ここではゼロディ攻撃の発展系で、即日にマルウェアXが攻撃に利用した
脆弱性を突く別のマルウェアが作られる可能性があります。
そうなると、マルウェアXの暗号資産の発掘処理が阻害されてしまいます。

そういった点を踏まえると、マルウェアXが一番警戒すべきは
同じ脆弱性を利用したマルウェアXとその亜種であると想定するのが
一番自然と考えられます。

逆に人為的な駆除についてですが、このマルウェアXの性質からして
マルウェアXは非常に発見されにくい、かつ発見されたとしても、
そのサーバで動作するマルウェアXが駆除されるだけなので、
懸念事項としては小さいと想定されます。
2024.04.05 23:45
 合格したい男さん(No.5) 
返信が遅れて申し訳ありません。
納得がいきました、ありがとうございます。
2024.04.07 19:59
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop