マルウェア感染が判明したPCの対処【H30秋】

質問さん  
(No.1)
H30秋試験 設問3(3)について。
マルウェア感染が判明したPCへの対応について、『ネットワークから切断して回収した』という文章に下線が引いてあり、その問題点を問うものです。
模範回答(問題点)としては、『ネットワークインターフェースや通信の状態についての情報が失われる』となっています。

通常、感染が疑われる場合には、ネットワーク内での更なる感染を防止するため、すぐにLANケーブルを抜く(ネットワークから切断する)ことが定石ではないでしょうか?
2023.03.01 20:56
pixさん 
SC ダイヤモンドマイスター
(No.2)
>通常、感染が疑われる場合には、ネットワーク内での更なる感染を防止するため、
>すぐにLANケーブルを抜く(ネットワークから切断する)ことが定石ではないで
>しょうか?

EDRなどが普及される前は、すぐにLANケーブルを抜く(物理抜線)がベター
という時代もあったかもしれません。

しかし現在のEDRソフトなどは、EDRマネージャから特定のEDRクライアントPCに
対してEDR用の管理用通信を残してソフトウェア的にネットワークから隔離
(論理抜線)が可能です。またEDR経由でリモート調査も可能です。
これによりnetstatなどのネットワーク統計情報、ルーティングテーブルが
保持されたままになります。
この状態でメモリダンプすることによりデータフォレンジックが可能となり、
後の調査に役立ちます。

IPAの試験において、自分の経験・体験を基に解答する、いわゆる
「オレオレセオリー」はよくある誤答の原因になるので、避けた方がよいです。
2023.03.01 21:18
質問さん  
(No.3)
すいません、私の書き方がよくなかったかもしれませんが、定石というのは私個人の考えではなく、SC試験の解答としてという意味です。
例えば今回の問題以後に出題された令和元年秋午後1問3では、インシデント対応としてマルウェア感染が疑われる不審PCのLANケーブルを抜くこととし、それをしなかった場合のリスクを答えさせる問題が出ています。
2023.03.02 21:04
pixさん 
SC ダイヤモンドマイスター
(No.4)
この投稿は投稿者により削除されました。(2023.03.02 22:45)
2023.03.02 22:45
pixさん 
SC ダイヤモンドマイスター
(No.5)
質問の意味を理解いたしました。
そういう意味ですと、以下の2問で問うている力点は多少異なります。
H30秋PM2-2-3(3)
R01秋PM1-3-1(2)

H30秋PM2-2-3(3) 本問のテーマ:『デジタルフォレンジックス』
本文:「直ちにPC-Aをネットワークから切断して回収した。」
質問:「調査の観点から見たときの問題はなにか。」
解説:調査(デジタルフォレンジック)についての観点で重要な点を問うております。
  理想としては、マルウェア感染後に速やかにメモリダンプを取得し、その後に
  ネットワークから切断して回収すべきであると考えられます。

R01秋PM1-3-1(2) 本問のテーマ:『情報流出の再発防止』
質問:「不審PCを利用者LANから切り離さない場合、マルウェアがどのような
  活動をすると想定されるか。」
解説:本問のA社は過去に標的側攻撃をうけ、情報流出を起こしてしまっています。
  そのため、改正後のインシデント対応手順は「いかに情報流出の再発を防ぐか」が
  重要な点として考慮されております。
  このケースでは、調査よりも情報流出を防ぐ方がより重要度が高いと考えられます。

その時の事情や観点の違いにより、適切な解答は異なってきます。
IPAはIRT関連の対応についての問題は、そういった事情を鑑みての解答を求める傾向が
あります。
2023.03.02 22:47
ご参考になればさん 
(No.6)
特定非営利活動法人デジタル・フォレンジック研究会
「証拠保全ガイドライン 第9版」
2/20に新版発行されてます。
2023.03.03 14:35
質問者さん 
(No.7)
ありがとうございます、大変参考になりました。
2023.03.03 17:58

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop