自信無さすぎる。。意見交換しましょ～
選択問題分からなすぎて敢えて同じ記号選んでたりしますので気にせずに

設問１
(１)エ
(２)C&CサーバのIPアドレス
(３)仮想マシン上ではなくOF環境を用いる

設問２
aエ
bエ
cウ
dウ

設問３
(１)２
(２)fウ  gウ  hウ  iウ
(３)jア kウ lア mウ nイ oア

設問４
(１)実際の文字列長よりも長くする処理
(２)利用者IDに対してログインに５回連続で失敗するとそのIDを十分間ロックする処理
(３)Admin00001のようなAdmin[数字5桁]の形式になっている文字列
(４)IPアドレスとMACアドレスの関係が１対１になっていない
(５)デバッグログに認証情報等の重要な情報は出さないこと

設問2はアウエイにしました。
自信なしですが、、

となると設問２全滅＼(^o^)／

設問１
(１)エ
(２)C&Cサーバのプログラムコード
(３)仮想マシンではなく実サーバ上で動作させる

設問２
aエ
bア
cウ
dイ

設問３
(１)1
(２)fア  gイ  hエ  iウ
(３)jア kウ lウ mイ nウ oア

設問４
(１)文字列を前半と後半に分けて入れ替える
(２)ログインが5回連続で失敗すると該当IDログインを10分間ロックする
(３)エ
(４)Adminにサーバごとに異なる数字を組み合わせたAdmin0000

設問５
(１)正常なIPアドレスとMACアドレスの組み合わせが変更された時
(２)デバックログから解析されないようにする

こんな感じの解答になりました。設問2が正解であってくれると嬉しいです。。
設問1
(1)エ
(2)プログラムコード
(3)仮想マシンで動作してると検知されないこと

設問2
a:エ  b:ア  c:ウ  d:イ

設問3
(1)1
(2)f:ア  g:イ  h:ウ  i:ウ
(3)j:ア  k:ウ  l:ウ  m:イ  n:ウ  o:ア

設問4
(1)？
(2)同一の利用者IDで5回連続でログインに失敗するとログインを10分間ロックする機能
(3)エ
(4)"Admin"と00000から始まるn番目の連番を結合した文字列

設問5
(1)ARPテーブルに同一のMACアドレスが複数設定された状態
(2)各サーバへのログイン記録をログに出力すること。

設問１
（１）エ
（２）C&CサーバのIPアドレス
（３）仮想マシンを含まず物理PCで構成される

設問２  ★エの扱いが不明
a  エ  
b  ア
c  ウ
d  イ

設問３
（１）１
（２）f ア  g イ  h ウ  i ウ
（３）j ア、k ウ、l ウ、m イ、 n ウ、o ア

設問４
（１）パスワードに一定文字数データを付加する  ★繰り返しハッシュ計算するが正解
（２）同じ利用者IDでログイン失敗が５回連続した場合にログインを１０分間ロックする
（３）ア
（４）Admin[0-9][0-9][0-9][0-9][0-9]  ★不明

設問５
（１）複数のIPアドレスに同じMACアドレスが対応している
（２）デバッグログに認証情報を含めない

午後Ⅱ問１
設問１
（1）ファイルレスマルウェア
（2）プログラムコード
（3）サンドボックス用の仮想マシンでないこと
設問２
  ア、ウ、イ、エ
設問３
（1）１
（2）ウ、イ、イ、ウ
（3）ア、イ、ア、ウ、イ、ア
設問４
（1）ストレッチ回数分ハッシュ関数を用いる
（2）同一利用者ＩＤに対するログイン回数が５回連続の場合のアカウントロック機能
（3）レインボーテーブル
（4）最初の5文字がAdminであとの５文字が数字５桁の合計１０桁の文字列
設問５
（1）ＰＣやサーバのＡＲＰテーブルが短時間で更新されていること
（2）人事サーバ上のログを監査ログ保存サーバで収集する

設問1
(1)エ: ファイルレスマルウェア
(2)C&Cサーバのプログラムコード
(3)仮想マシンではないサンドボックス環境

設問2
a:ア  b:ウ  c:エ  d:イ

設問3
(1)1
(2)f:ア  g:イ  h:ウ  i:ウ
(3)j:ア  k:ウ  l:ウ  m:イ  n:ウ  o:ア

設問4
(1)ストレッチ回数分ハッシュ関数を実行する
★(誤)ストレッチ→  (正)ストレッチング ＼(^o^)／
(2)ログイン失敗が5回連続した場合、当該利用者IDによるログインを10分間ロックする
(3)エ: レインボーテーブル
(4)"Admin[数字5桁]"という試験用OF環境で用いられる形式の文字列

設問5
(1)MACアドレスとIPアドレスが正しく対応していない状態
(2)デバッグログに悪用可能な情報を出力しないようにする

設問2 の【エ】の位置は、エ→ア→ウ→イ としたのですが、それなら図4のように、

1.D-PCで〜管理サーバにアクセスする
2.ルータを内部モードに切り替える(エ)
3.OF機器にログインし、解析ファイルを収集する
[                             a                            ]

でもよい気がするのです。

みなさんどのように考えましたか？

私も同じ理由でエアウイにしました！

あっ 自己レス
最初に 内部モードに切り替えちゃうと、ファイルサーバがOF機器に触れてしまうから エが最初ではダメですね
検疫PC以外をOFFにしたあと(ウ)、内部モードに切り替え(エ)だ・・・。
だから、ア→ウ→エ→イ ですね(コーブーさん、明日が祝日でよかったさん)

(ﾉ∀`)ｱﾁｬｰ

なんか見た感じウよりエが後に来る回答が多いですね
どうしても分からなかったのですが、図４と図３見ると少なくともエが先でウが後という邪道な予想を立ててエエウウと書いたのですが(この場合全部ウより２倍点数が狙える可能性がある)、その読みは外れたようで今回も撃沈ですorz

これって記号問題と文章問題で配点一緒なんですか？今回は文章問題がいつもよりは比較的好調なので配点割合次第ではギリ合格行くのか期待してみたり...文章７点記号３点とかそんな感じなら希望持てるのですが。

設問2はア→ウ→エ→イの順にしました。
エの位置ですが、「解析ファイルの転送では、検疫PCがマルウェアに感染してきないことを確認する」という記述があるので、OF機器→ファイルサーバの通信が許可になる内部モードへの切り替えはマルウェアスキャンの実行後出ないといけないと思います。なのでエの位置はcになると思います。

設問1
(1) エ
(2) C&Cサーバの接続先（最初はIPアドレスと書いていたけど、FQDNが一緒だったらIPアドレスが変わっても名前解決で変更後のIPアドレスを引けたら通信できるよな、とか土壇場で考えて修正。余計なことだった？）
(3) 仮想マシン上で動作していることを検知できない環境（最初は、仮想マシン上に構築された環境ではない、と書いていたけど、現物のマシンなんて出てきてないし、有ったとしてそこにマルウェア入れるの許されるの？  と不安になって修正）

設問2
ア→ウ→エ→イ
・OF機器をシャットダウンしてしまったら解析ファイルを移せない  ので、ア > ウ
・マルウェアに感染したOF機器が動いている状態でルータを内部モードにすると感染が広がるかもしれない  ので  ウ > エ
・ルータが内部モードになっていないと、OF機器（あつかいをされる検疫PC）がファイルシェアサーバにファイルを送れない  ので、エ > イ

設問3
(1) e:1
(2)
f:ア
g:イ
h:ウ
i:ウ
(3)
j:ア
k:ウ
l:ア
m:ウ
n:イ
o:ウ

設問4
(1)ハッシュ関数の実行を複数回繰り返す処理
(2)同一利用者IDへのログイン失敗が連続すると当該IDへのログインをロックする機能（最後まで悩んだ。「同一」IDへのログイン試行が5回「連続して失敗」したらログイン試行を10分間「ロックする」とかの書きたいキーワードを漏れなく入れこもうとすると文字数が足りなくて）
(3)エ
(4)文字列adminに変数nを5桁で表した文字列を連結させて生成した文字列

設問5
(1)ひとつのMACアドレスに対応するIPアドレスが複数ある状態
(2)ログイン時に送信した文字列をログに残さないこと

としました。

設問2はウをイより先にやるとルーターが落ちて、ファイルサーバーにアップできないのでは…？

設問2は使用できるシステムコールが制限されている、ではないでしょうか？

とろろさん、ルーターは落ちないかと思われます。
OF機器にルーターは含まれないようですので。

この投稿は投稿者により削除されました。(2022.10.09 22:03)

設問2はエの位置で意見が分かれていますね。
私も候さんと同じ論理で、ア→ウ→エ→イにしました。
マルウェアが動作しない状態にする前に内部モード有効にすると、マルウェアがファイルシェアサービスへ感染する恐れがあるので。
下記2点を実施し、マルウェアの動作を完全に抑え込んでから、内部モードを有効にしないと危険かと思いました。
・検疫PCを除くOF機器をシャットダウン←検疫PC以外のOF機器にマルウェアが感染していても動作させない
・検疫PCがマルウェアに感染していないことを確認(図5の5番目) 


設問１
(１)エ
(２)プログラムコードの内容
(３)仮想ではなく物理マシン上で動作する環境

設問２
aア
bウ
cエ
dイ

設問３
(１)1
(２)fア  gイ  hウ  iウ
(３)jア  kウ  lウ  mイ  nウ  oア

設問４
(１)指定回数分ハッシュ計算を繰り返す処理
(２)あるIDに対して５回連続ログイン失敗すると同IDを10分間ロックする機能
(３)"Admin[数字5桁]"の[数字5桁]部にnを代入してできる文字列
(４)複数のIPアドレスに一つのMacアドレスがひもづいている状態
(５)機密情報の推測に利用される情報をログ出力しない。(ex.具体的にはH文字列.....と続くように)

設問1
(1)エ
(2)C&CサーバのIPアドレス
(3)実行環境が仮想マシン上でない
設問2
a:ア b:ウ c:エ d:イ
(エが先頭だと、表3の項番4に合致してマルウェアに感染した検疫PCがファイルシェアサーバと通信できてしまうと思った。)
設問3
(1)1
(2)f:ア g:イ h:ウ i:ウ
(3)j:ア k:ウ l:ウ m:イ n:ウ o:ア
設問4
(1)ハッシュ値のバイト長を変える機能(分からなかった...)
(2)利用者IDで5回連続ログイン失敗時、当該利用者IDを10分間ロックする。
(3)エ
(4)Admin00000からAdmin99999の間で、連番としてn番目の文字列(日本語として正しくなさそう笑)
設問5
(1)複数のIPアドレスが同一のMACアドレスと対応している。
(2)文字列Zをデバッグログに出力しない。(攻撃者がデバッグログから文字列Zを取得していなければオフラインで生成した文字列と比較出来ないと思ったが、認証情報など広義の意味にしておくべきだった？)

設問4-4
Admin[(5-変数nの桁数)個の0(最大値を99999とする変数n)]という長ったらしい回答をしてしまいました。
どうだろうなぁ

設問3
(3)j:ア k:ウ l:ウ m:イ n:ウ o:ア
って人が多いけど

(3)j:ウk:イ l:ア m:ウ n:ウ o:ア
じゃないのかな（ ;  ; ）

理由は注2の上から順に送信されたって書いてるから

jとkの戻りの通信が問題文に記載しているMacアドレスのパケット(上から3つ目)で(つまりこれの送信元と宛先を入れ替えたものがjとk)

lとmの戻りがnとoのMacアドレスのパケットだからと思って終了の直前にこれにしたんだけどいらん事したかな…。

設問2 エ の位置は ファイルサーバをOF環境に触れさせるタイミングを見落とすと 穴3つ落としますね
(ぼくも引っかかりました)

>だいさん
これ、中間者攻撃の一種なんです。
ひとつのセグメント内なので、MACアドレスだけでパケットが転送されると考えてください。
(この中間者攻撃が成功した証拠として、ARPスプーフィングに成功した部分を抜粋した、と注記1)
端末MACの下だけで書くと、
標的⇄XPC⇄DNS
 4a  ⇄ 25  ⇄  1b

この「ARPスプーフィングに成功した部分を抜粋」というのは 設問5 (1) 下線部 7 にも関連してて、
おそらく コーブーさんの 「ARPテーブルが繰り返し書き換わる状態」 が正解だと思います。
ぼくも最初そう書いたのですが、終了直前に「構成管理で機器間のARPテーブルに整合性がない」ようなのに書き換えてしまい、ミスりました(Dynamic ARP Inspectionは既出)。

理由は、標的PCからのARP要求とその応答が、正しく標的PCに帰ることも多いからです(X-PCのよりも先に)。すると、標的PCのARPテーブルで、DNSサーバのIPアドレスに対するMACアドレスが、X-PCとDNSで書き換えが繰り返されることになります。

これを利用した ARPジャミングは、未許可の不正端末をネットワークから排除する装置として使われてます(ネスペ過去問で出題あり)

ラスト10分で書き換えた解答って、焦りから視野が狭くなってて、間違ってること多めで反省してます(ぼくは午後1と2で3問やらかしました)

でもほんと皆さんの解答がしっかりしてるので、ぼくのようなちょいミスが積み重なってて60点前後の人間にとっては、ほんとうに怖い試験回でした・・・・。

ARPジャミング（こういう言い方は、初めて聞いたかも）のネスペ回
令和元年PM1問3
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_nw_pm1_qs.pdf
P13-14の案2の部分
ざっと概要の説明があります
DHCPスヌーピングとかARPスプーフィングを知っている前提じゃないとわかりづらいかもしれない

解答作成スレで話すべきことではないかと思いますが、
設問2は見たときにこれは全滅する可能性あるなあと考えてaアbアcイdイにして部分点で二つだけ取りに行く作戦にしました。全一致だと詰みますが、午後対策本見る限りこれまでの過去問では解答欄一つにつき配点されてるようので、おそらく点はもらえると思います。

皆様とかなり違うことを書いてしまったので落ちたと思います（涙）

設問1
(1)エ
(2)C&Cサーバのアドレス変更（IPかFQDNかヒント無しなので。C&Cサーバの切断と迷った）
(3)動的解析環境ではなく静的解析環境で行う

設問2
a:ア 
b:ウ 
c:エ 
d:イ
（ウとエを入れ替えちゃったかも）

設問3
(1)1
(2)
f:ウ
g:イ 
h:ア
i:イ

(3)
j:ウ 
k:イ
 l:ア 
m:イ 
n:イ 
o:ア

設問4
(1)ハッシュ化を複数回繰り返す
(2)ロクイン失敗が５回連続した場合は当該利用者IDを１０分間ロックする
(3)エ
(4)Adminに続く数字５桁。６番目から１０番目。（を、総当たりする）

設問5
(1)ARPテーブルが不審に更新されている。
(2)DNSサーバのログを取得する。

>ねむいさん

大変分かりやすい解説ありがとうございます！
完璧理解出来ました。
一種の中間者攻撃という例え、かなり分かりやすいです！

最初何も考えずに埋めてた方が正解してたのでとても悔しいです（ ;  ; ）(どちらにしろこの辺り全然理解出来てなかったので自業自得ですが…)

にわかな知識持ってる人間に取っては悪魔のような問題でしたね…。(実務でネットワーク経験が合ったのでいけると思ったら、まんまと惑わされた…)

問2選択しとけば良かったかも…。

その他は皆さんと同じような意味合いの事を書いたつもりですが、書き振りによって採点変わったりするのかな…。

皆さん試験お疲れ様です。

今回初受験で、午前Ⅰと午前Ⅱは無事通過しました。
ちなみに午後Ⅰは問１と問２を選び、それぞれ５割と７割の出来かなと思います。トータルで６割ギリギリかなと思います。

私も、午後Ⅱは問Ⅰを選びました。
試験後に回答チェックしてみて自身がないのは設問１の（２）、設問３のkとo、設問４の（１）と（４）、設問５の（１）です。

設問１の（２）はさっぱり分かりませんでした。
回答文は『検体αのメモリ上のアドレス』と当てずっぽうで書きました。
ストレートに『プログラムコード』と書いた方が正解だったかも……

設問４の（１）はストレッチングの定義自体知らなかったです。
設問４の（４）は"５桁の数字"ってキーワードは入れましたが、回答文は、
『ｎ回目までのハッシュ演算中でH文字列とZ文字列が一致した時、
ターゲットの５桁の数字が含まれる文字列』と具体的な回答になっていません。

設問５の（１）は、残り時間が少なく焦りもあって『ARPテーブルに未知のMACアドレスが存在している状態』と回答してしまいました。

午後Ⅱもトータルで６割ギリギリ行けてたらいいなぁと思います。

以上、失礼いたしました。

設5(1)を『ARPテーブルが頻繁に更新されている状態』としたのですが、別解としていかがでしょう？

午後Ⅱ 問1 設問1の(2)は「プログラムコード」と解答された方が多い印象です。
プログラムコードというのは、どこのプログラムコードのことでしょうか？
C&Cサーバでしょうか？であれば、「C&Cサーバからの命令内容（を変更する）」もOKなのでしょうか？

>どうかなあさん
私はC&Cサーバからダウンロードされるプログラムコードという意図で、「プログラムコード」と回答しました。
個人的な満点回答は「α検体がC&Cサーバからダウンロードするプログラムコード」なのですが、これでは25文字になってしまうので。

ちなみに、回答案として「C&Cサーバの接続先」も思い浮かびましたが、
・C&Cサーバの接続先が変わっても、ダウンロードしてくるプログラムコードの内容が同じであれば再現はできる
・C&Cサーバの接続先が変わらなくても、ダウンロードしてくるプログラムコードの内容が変われば再現はできない
という理由で、「C&Cサーバの接続先」回答から外しました。

>「C&Cサーバからの命令内容」
これを見たとき、文字制限15字以内ではこの回答が一番綺麗だと感じました。

皆さんの書込みに興味がありましたので、私も解答を検討してみました。
この問題の判断は難しいです。間違っている可能性も多いにあるので、
ご参考までに。

解答：「C&CサーバのIPアドレス」(13文字)
理由：「近年の攻撃の傾向」という文言を、Fast Flux手法を指していると
  判断しました。
・C&CサーバのIPアドレスは検体αにハードコーディングされている
・頻繁にC&CサーバのIPアドレスが変更されている可能性がある
・検体αはプログラムコードをダウンロードできなくなる
・これは検体αは寿命が短命のタイプのマルウェアで、その特徴である
と読み取りました。

C&CサーバがIPアドレスを頻繁に変えるのは、もちろんIPアドレスの
ブラックリストよけのためです。

Y主任の「念のため、今の仮想マシンの状態を保存しておいてほしい。」
という発言は、プログラムコードがダウンロードできなくなる場合に
備えて、すでにプログラムコードがダウンロード済みかつ活動中の環境を
残しておきたいという意図と読み取りました。

解答は「プログラムコード」（8文字）とどちらかと迷いました。
多少解答テクニック的なものになりますが、IPAの傾向として解答に
文字数指定した場合は、-2文字くらい（15文字ならば13文字）が解答に
なるケースが多いからという、観点も解答の根拠となっています。

説明を補足します。
Y主任の発言:「今日確認した検体αの挙動」とあります。
表4は左の列が「確認した挙動」、右の列が「簡易的な解析の結果」に
なっています。

IPAは問題作成時に、愚直に字句通りに質問することが多いです。
「今日確認した検体αの挙動」とは、左の列の「確認した挙動：C&Cサーバに
接続し、プログラムコードをダウンロードした。」がどのように
変わってしまうかを解答すると読み取りました。
右の列の「簡易的な解析の結果」がどう変わるかではないと考えました。

度々の補足失礼します。

なぜC&Cサーバとの通信にFQDNを使用しない理由ですが、
FQDNを使用してしまうとFQDNをプロキシサーバのブラックリストに
登録されてしまう可能性があるからです。
そうなると、それ以降そのFQDNはC&Cサーバとの通信に使用できなくなります。

FQDNのサブドメイン部分変更すれば、一応ブラックリストも避けられますが、
ブラックリストでサブドメイン部分をワイルドカード指定や、
ドメイン部分で正規表現の後方一致を指定されるとブラックリストを
避けることができないからです。
そのため、IPアドレスで通信しているという考えになります。

※No.33の補足です
ネスペ令和元年秋期  午後2  問2
P20にFast Fluxの説明があります
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_nw_pm2_qs.pdf
支援士でFast Fluxを直接ベタに聞いたケースはたぶんなかったと思う

この投稿は投稿者により削除されました。(2022.10.12 20:40)

設問1(2)は、攻撃者によって「検体αへの指令・統制」が変更される、あたりが適当かと思いました。
検体αは解析中で、挙動・機能がダウンローダに限定されるか不明ですので。

私は問2を選択しましたが、もし問1を選択していたら「ダウンロードするプログラム」と回答していたはずです。

>pixさん
なるほど。勉強になります。
特に下記内容には感心してしまいました。また試験中ここまで頭は回りませんでした。
>「今日確認した検体αの挙動」とは、左の列の「確認した挙動：C&Cサーバに接続し、プログラムコードをダウンロードした。」がどのように変わってしまうかを解答すると読み取りました。

本件は正答を確信した問題ではありましたが、まだまだ視野が狭かった様ですね。

TACの予想配点付き解答速報出てましたね。59点でした。悔しいですが次またがんばります

設問１（２）攻撃者によって何が変更される場合か？解答割れましたね。
C＆Cサーバかプログラムコードか分からないですが、正直両方ともアリな気もします。


ただ「解析環境の仮想マシンを全てシャットアウト」だけはいくら週末とはいえ絶対やってはいけないと思う。週末はお休みの会社を擬態するため数台の仮想端末はシャットダウンした方が本物っぽくなると思いますが、DHCPやARPまで止めたら仮想環境だとバレてしまう。（そこまで細かいコントロールはできないと思うが）

う~ん、設問1(2)はどっちが正しいか結論はまだ出ていないんですね…
TACとitecでも解答予想が割れているし、もうIPA次第って感じ？