平成30年秋午後Ⅱ問2設問2(2)設問3(2)他

akiさん  
(No.1)
平成30年秋午後Ⅱ問2設問2(2)、設問3(2)および(6)

設問2(2)  ログの時刻情報に関連する設問で、IPAの解答は「タイムゾーンを統一する」といった内容でした。私の解答は「タイムゾーンを日本標準時とする」でした。
ログ管理ポリシーに定める要件で「タイムゾーンを統一する」だけだとどれに統一するのか示したことにはならないと思いました。日本標準時あるいは世界保標準時が候補となると思いますが、実際にこのポリシに従ったと思われるプロキシサーバのログを示す図6では、日本標準時が記録されているので、ここを問われている問題だと考えての解答でした。私の解答は正解になると考えて良いでしょうか。

設問3(2)  マルウェアとC &Cサーバの通信に関する問で、HTTPリクエストによる活動は「C &Cサーバへのコマンド要求又は応答」がIPAの模範解答でした。私は「窃取した時情報をC&Cサーバに送信」としました。窃取した情報をC&Cサーバに送信するのはHTTPリクエストのPOSTメソッドによるものだと思いますが、IPAの解答にある「応答」の中に「情報の送信」は包含されていると理解すれば良いのでしょうか。また私の解答だとコマンド要求の要素が抜けているので正解にはならないと考えた方が良さそうでしょうか。

設問3(6)  ファイル名を変更して持ち出されたと疑われる場合、ファイルサイズと何の一致を確認するのかといった出題でした。IPAの模範解答は「ハッシュ値」でした。フォレンジックツールを使う実務をしたことがないのでわからないのですが、フォレンジックツールにはハッシュ値でファイルを検索する機能が備わっているものと理解すれば良いのでしょうか。ちなみに私は「作成日時」としました。ファイル名を変更しても作成日時は変わらないので、必ず見つけ出せるとは言わないけど見つけられる可能性はあると思っての解答でした。ハッシュ値も考えましたが「ハッシュ値で検索する」という機能がフォレンジックツールにあるという知識がなかった以外にも、ファイルサイズをキーとして検索するという記載も引っかかりました。ハッシュ値が一致しているならファイルサイズが違うことはあり得ないと思っているのですが、この認識は間違っていますでしょうか。ハッシュ値で検索可能ならファイルサイズで検索する意味がないというのがヒントになっていると思って「ハッシュ値」を解答候補から外してしまいました。

以上3門となりますが、コメントいただけますと幸いです。
2023.04.13 11:30
GinSanaさん 
SC ブロンズマイスター
(No.2)
IPAの書き方には踏み込みの度合いがあって、たとえば
時刻情報を同期する
というのがあって、これを
時刻情報をNTPで同期する
と書くと踏み込みすぎになってあかんくなる(NWの令和4年)
ということがあります。まあこれは《NTPでやるとは一言もかいていないから》ということからきているわけです。
ポリシに従ったと思われる、が実際従った、むしろJSTに合わせるとかない限り、踏み込みを深くして書くことはいらんとは思います。それでガリガリ途中点が削られるものではないでしょうけど、李下に冠を正さずってやつです。
実際、最近何に合わせるかはむずかしいんですよね。AWSとかだと軒並みUTCなんで。プロキシだけおれはJSTなんだとかこだわってられないところがあります
2023.04.13 12:04
pixさん 
SC ダイヤモンドマイスター
(No.3)
設問2(2)
>私の解答は「タイムゾーンを日本標準時とする」
解答として8割くらいと思われます。
これに関しては統一するくらいの解答がベターだったと思われます。


設問3(2)
>私は「窃取した時情報をC&Cサーバに送信」としました。
解答として5割くらいと思われます。

>IPAの解答にある「応答」の中に「情報の送信」は包含されていると理解すれば
>良いのでしょうか。
これに関しては、この理解でよいかと思われます。


設問3(6)
細かく分類するとファイルには2つの種類の情報があります。

データ自体:
  ファイルに格納されているデータそのもの
メタデータ:
  ファイルを管理するための情報
  ・ファイル名
  ・ファイルサイズ
  ・更新日時などの日時情報(作成日時、アクセス日時)
です。

このうち、ファイルサイズ以外のメタデータは外部要因によって簡単に
変化してしまいます。
ファイル名なども任意のものに変更できるという意味です。
また、更新日時もファイルコピー時にファイルコピー時刻に変更される
ことも多々あります。

一点注意ですが、作成日時はWindows系OS独自のメタデータです。
Linux系OSには存在しません。

以上のような理由でメタデータを基準にしてファイルが同一かどうかを
調査するのは不適切です。

調査する際に唯一不変なものとしてファイルのハッシュ値があります。
ハッシュ値はデータから算出されるため、データが一緒なら常に
同じ値になります。

>フォレンジックツールにはハッシュ値でファイルを検索する機能が
>備わっているものと理解すれば良いのでしょうか。
機能はあったりなかったりです。ない場合は自作して対応します。
2023.04.13 12:56
PAC3さん 
(No.4)
設問2(2)について
IPAの解答は「タイムゾーンを統一する」ではなくて
「タイムゾーン」を「統一」するですよね。(虫食い問題)
「日本標準時と」というのはある意味頓知解答なのでは部分点ももらえないと思います。
2023.04.13 13:14
akiさん  
(No.5)
皆様ありがとうございます。
>ハッシュ値はデータから算出されるため、データが一緒なら常に
>同じ値になります。
こちらは理解しているのですが、
「データが一緒ならファイルサイズも同じ」という認識は間違いでしょうか?

「データが一緒ならハッシュ値も同じ、かつファイルサイズも同じ」ならCさんが、ハッシュ値での検索と合わせて、ファイルサイズをキーにして検索したことの意味がなくなってしまうと感じました。「ファイルサイズ」と問題文に書いたのはヒントというよりも引っかけ問題的な意味だったのでしょうか。Cさんはフォレンジックに長けているわけでもなさそうでしたので。。。

>「日本標準時と」というのはある意味頓知解答
虫食いのそとに「と」があるかないかで、どこまで踏み込むか考えた方が良かったですね。
2023.04.13 16:17
pixさん 
SC ダイヤモンドマイスター
(No.6)
>「ファイルサイズ」と問題文に書いたのはヒントというよりも引っかけ問題的な
>意味だったのでしょうか。
引っかけではなくIPAのやさしさと思われます。
問題文は「ファイルAのファイルサイズと[ l ]をキーにしてファイルを検索した。」と
あります。これならば空欄lは「ハッシュ値」と推測できます。

もし問題文が、「ファイルAの[ l ]をキーにしてファイルを検索した。」の場合、
空欄lを「ファイルサイズ」と誤答する人が多くなるのを懸念したと思われます。

実際の運用でも、ファイルサイズでファイルが同一かどうかをざっくりと判断します。
ファイルサイズが一致していれば、9割がた同じファイルと判断できます。
しかし、ファイルサイズだけでは同じサイズで内容が違う可能性がありますので、
あくまでも簡易的な判断です。
プラスアルファでハッシュ値も比較すれば、確実に同一ファイルか判断できます。
2023.04.13 16:32
akiさん  
(No.7)
ありがとうございます。
&検索みたいなイメージを持っていたのですが、そうではなくて段階の話と理解すれば良かったわけですね。
せっかくのヒントをヒントとして受け止められないようではまだまだ合格への道のりは遠そうです。
2023.04.13 16:42
橙色文書さん 
(No.8)
> ハッシュ値が一致しているならファイルサイズが違うことはあり得ないと思っているのですが、この認識は間違っていますでしょうか。

無視できるほど極めて低い確率で、ファイルサイズが異なってもハッシュ値が一致する可能性はあります。
サイズが同じで内容が異なるファイルのハッシュ値が一致する可能性もあります。
ハッシュ値の性質に誤解があるようですが、受験の直前であれば非効率かと思いますので終わった後に確認しましょう。

余談として、フォレンジック用ツールは知りませんが、ベーシックな改竄検知ツールはファイルの現旧ハッシュ値を比較します。
2023.04.13 21:08
akiさん  
(No.9)
橙色文書さま
コメントありがとうございます。
2023.04.21 08:52

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop