攻撃を受けたサーバやPCを起動したままにする理由

ゆうきさん  
(No.1)
攻撃を受けたとみられるPCやサーバをシャットダウンしない理由について質問です。
過去問でも数回問われていますが、今まで私が確認した範囲でも
・  メモリの情報が失われることを防ぐため
・  ファイルが書き換えられることを防ぐため
と2種類の模範回答がありました。
これらはどちらも要するに同じことを言っている、という認識で良いのでしょうか。
別の事象を指している可能性がある場合、具体的な説明をお願いしたいです。
また、シャットダウンしない理由として別の回答が可能であれば教えてください。
よろしくお願いします。
2020.08.19 22:55
ポンさん 
(No.2)
私は、難しく考えず、言葉の意味をそのまま解釈しました。
つまり、具体的には、
・電力断による揮発性メモリデータの消失
・シャットダウン動作による、OSなどの様々なファイルの書換え

このように解釈しています。

2020.08.21 19:36
チョットいいですかさん 
(No.3)
直接の回答にはなっていませんが、参考になればと。

「証拠保全ガイドライン 第7版」2018年7月20日
特定非営利活動法人デジタル・フォレンジック研究会
  5-1-2.電源の供給停止の可否について
  5-2-2.対象物がコンピュータ(デスクトップ型)で、電源がON の状態の場合
に詳しく解説があります。
ここに掲載すると長くなりますので、WEB検索し見てください。
2020.08.22 11:19
グルタミンさん 
(No.4)
現場的な話をすると、

前者はメモリダンプを取るためですね。メモリダンプからはどんなプロセスが動いていたか、どんな通信をしていたか等の様々な情報が取れます。
解析ツールとしては、Volatility FrameworkやFTK Imager Liteが有名ですね。
詳しくはメモリフォレンジック等で調べるといいかもしれません。

後者は一般的によくあるウイルスの後処理として、シャットダウンイベントで自分自身や証拠となる足跡を全て消してしまう事があるからです。シャットダウンで消えちゃうんじゃ意味無くない?と思うかもしれませんが、サーバはあまりシャットダウンしないので十分仕事をする時間がありますし、それ以上に証拠を残さない事の方が重要である場合が多いからです。
2020.08.26 15:39
ゆうきさん  
(No.5)
皆様

ご回答ありがとうございます。
それぞれ別のリスクのための対策であると理解しました。
問題文を読んで、より適切な方の理由を挙げるようにしようと思います。
2020.08.30 12:07

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop