令和3年春  午後1問3設問4(2)について

orangekameさん  
(No.1)
「PCが夜間に不審な振る舞いをしたときに、当該PCをネットワークから隔離する対策」を問われている問題です。
この問題対するIPAの答えは、「エージェントによって、夜間にARPコマンドの実行を検知したら、当該PCをネットワークから隔離する。」となっています。

表1を確認するとエージェントの欄に「指定した時間帯に指定したコマンドが実行された場合・・・通信を遮断する機能をもつ。」と書かれています。
図5には下記が書かれています。
(1)感染するとすぐに自身が動作するPCのARPテーブルから下記(2)及び(4)の活動に必要な情報を読み取って保持しておく。
(2)夜間にARPテーブル中のPCすべてにpingコマンドを送信し、PCが起動しているかどうかを確認する。
(3)起動しているPCに感染を試みる。
(4)起動していないPCを発見したら、WoLを使ってそれらのPCを起動し、感染拡大を試みる。

夜間に不審な動きを始めるということは、日中帯にユーザの操作(Web閲覧やメール開封)でマルウェアRに感染したPCが存在するということです。
その際に(1)の動作「ARPコマンド実行」は、事前(感染時)に行われており、その後夜間に備えてじっと待機している状態だったと想定されます。
夜間になり、不審な動作の1発目としては(2)の「pingコマンド」が実行され、IPAの回答ので検知する(1)の「ARPコマンド」では、夜間に新たに感染した端末を隔離するだけで、次々と感染が拡大してしまうと考えられます。
※(1)のテーブルで取得できた範囲に限られますが・・・

故に私の考えだと「エージェントによって、夜間にpingコマンドの実行を検知したら、当該PCをネットワークから隔離する。」となってしまいます。
私が思いつく以外に、ARPコマンドとなる決め手はあるのでしょうか?
2023.09.28 15:48
pixさん 
SC ダイヤモンドマイスター
(No.2)
IPAは素直な思考を好む傾向があります。
そのため、この手の問題はあまり考え過ぎず、シンプルに考えたほうがよいかと
思います。

このマルウェアの特徴は下線③「自身が動作するPCのARPテーブルから下記(2)及び
(4)の活動に必要な情報を読み取って保持しておく。」という不審な振る舞いをする
ことです。
設問4-(2)は下線④の方法についてですが、この不審な振る舞いについての対策を
求めていると考えられます。

スレ主様のいう通り、昼間に感染した場合はどうなるのかなどありますが、これは
大筋から見れば、些細な点と思われます。

逆に夜間にpingコマンドを打っただけでPCがネットワークから隔離されるとします。
人の手によって、なんらかの夜間作業で動作確認のためにpingコマンドを打っただけで、
PCがネットワークから隔離されてしまうのはかなり不便です。
これはフォールスポジティブ(偽陽性)であり、誤検知に該当し、望ましくない状態と
考えられます。
2023.09.28 20:09
orangekameさん  
(No.3)
pixさん

ありがとうございます。

確かに「ARPコマンドを実行」よりは「pingコマンドを実行」する方が、夜間作業では実施する可能性は高いと思われます。
ただし感染拡大を防止するのにはどっちの方が効果的かという方向に思考が行くと、感染後の動作より(ARP)、感染を引き起こすための動作(PING)を選んでしまいそうになります。
過去問を色々といていくと、あまり深く考えすぎるパターンに陥ると答えから遠ざかる傾向にある気がします。

素直に答えることに慣れる必要がありそうですね。
2023.09.28 20:34
納豆のたれさん 
(No.4)
スレ主さんもpixさんもマルウェアRにとらわれてますね。
問題文には、マルウェアRに限らずWoLを悪用するマルウェアへの対策と書かれています。
マルウェアRの特徴をもとに解答してはいけないのでは?

あと問題自体への突っ込みなんですが、
> (2)夜間にARPテーブル中のPCすべてにpingコマンドを送信し、
> PCが起動しているかどうかを確認する。
相手のPCがシャットダウンしてしばらくすると、ARPテーブルからエントリが消えちゃいますよね。静的に登録することもできますが、普通はそんなことしないでしょう
日中に保存しておいた情報を使うのであれば、夜間にはarpコマンドを実行しないと思うのですが....
作問者はそのあたりをどう思っているのでしょう??
2023.09.28 21:56
orangekameさん  
(No.5)
納豆のたれさん

ご回答ありがとうございます。
本問題は二周目なのですが、「マルウェアRに限らずWoLを悪用するマルウェアへの対策」を見落としていました。
ここに注目すると、「ping」対「ARP」のコマンドで比較すると、ARPに軍配が上がりそうです。
しかしそういう意味ではWOLのコマンドを実行する方がさらに珍しい特徴的な動きにも思えますが、この会社ではパッチ適用するために運用があるため、WOLは外れますね。
※WOLについてWindows標準のWOLコマンドが思いつかないので、そのそも答えが書けないですが・・・

納豆のたれさんのおかげで、この問題の解答が完全にしっくりきました。
ありがとうございます。
2023.09.29 06:38
orangekameさん  
(No.6)
朝早くて頭が回っていなかったようです。

「マルウェアRに限らずWoLを悪用するマルウェアへの対策」なのでWOLするための情報を収集するARPコマンドが怪しい!

ARPコマンドを実行するやつを隔離しろ!

この流れですね。

なので「ここに注目すると、「ping」対「ARP」のコマンドで比較すると、ARPに軍配が上がりそうです。」以下は、特に不要な考察でした。

ありがとうございました。
2023.09.29 10:16
akiさん 
(No.7)
https://www.sc-siken.com/bbs/1030.html

以前私がスレ主となってpixさまからもコメントいただいていたスレッドがこちらです。
マルウェアRに限定してはいけない、というのはこちらのやり取りでも取り上げられており、pixさまからもアドバイスいただいておりました。ご参考まで。
2023.09.30 11:38
orangekameさん  
(No.8)
akiさん

教えていただき、ありがとうございます。
スレッドを立ち上げるときに検索して同じものがないか確認しているのですが、気がついていませんでした。

過去のやり取りを拝見しても、この問題は奥が深く色々な考察が必要なSC試験の醍醐味のような問題ですね。
本番で遭遇すれば、1番最後に回してゆっくりし考察したいと思います。
2023.09.30 13:21

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop