令和元年秋午後2問2設問1(3)PCの初期化

みみかt..zzZZさん  
(No.1)
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000dict-att/2019r01a_sc_pm2_qs.pdf

令和元年秋午後2問2設問1(3)  ページ16
ランサムウェアに感染したPCの措置についてです。
IPAの正答では、『初期化』でした。

私は、非IT関係の仕事をしており、このような状況の対処に疎いのですが、
実際の場合でも、ランサムウェアに感染したPCはすぐに初期化を行うものなのでしょうか?

もし、私だったら、
    1.感染したPCをネットワークから隔離する(ラテラルムーブメントの防止)
    2.メモリダンプを実施する(ファイルレスマルウェアの懸念も考慮する)
    3.PC内の機密情報の有無を確認
    4.初期化  <- ここで実施
でいいのかなって思います。

もしかしたら、私が問題文をよく読んでいないからかもしれませんが、
    ◯まず最初に『初期化』を行う理由
    ◯実際の状況でもまず先に『初期化』を行っているのか
をどなたか御教示いただけたら幸いです。
2024.07.15 19:36
pixさん 
SC ダイヤモンドマイスター
(No.2)
まず、一点大きな誤解があります。
マルウェア感染した場合の対応は一意に決められないというものです。
特にサーバとPCでは状況が大きくことなります。
サーバであれば、可用性を重視や、PCであれば情報漏えいの防止を重視などです。

初学者にありがちな思い込みとして、マルウェア感染対応はいつも決まった手順を
行えばよいというものです。これは全くの認識違いとなります。
まず第一に重要なことは、マルウェアの感染対応は単純なものではなく、
その際の
・感染拡大の防止
・機会損失の防止
・情報漏えいの危険度の判断
・対応にかかる時間
等を踏まえ、非常に複雑な対応が必要になるということです。

SCの問では様々な状況下でのマルウェア感染対応が出題されます。
過去に数回出題されましたが、対応方法は全て異なっておりました。

またIPAは、そういった背景を考慮して、本問の状況であればどのような対応が
ベストかを問う場合がほとんどです。

こういった複雑な背景があるため、スレ主様と同様にマルウェア感染対応の
設問について、疑問に思う方が過去にもかなりの数おりました。
2024.07.15 19:58
納豆のたれさん 
(No.3)
図3を読むと、1から8まででいろいろと調査・確認して、最終的に9で復旧作業のために初期化しています。
すぐに初期化したり、最初に初期化したわけではないと思います。
2024.07.15 21:22
みみかt..zzZZさん  
(No.4)
pixさん、いつも回答ありがとうございます!

>マルウェア感染した場合の対応は一意に決められないというものです。
>特にサーバとPCでは状況が大きくことなります。
>サーバであれば、可用性を重視や、PCであれば情報漏えいの防止を重視などです。

目からウロコです!
対応は、一意に決まっていないのですね。私の考えが固定化してしまっていました。
支援士の問題を解く時は、その問題の背景を考えて、何を一番重視しているのか、何をすればベストになるのかに注目して回答したいと思います。
2024.07.15 22:07
みみかt..zzZZさん  
(No.5)
納豆のたれさん、回答ありがとうございます!

>図3を読むと、1から8まででいろいろと調査・確認して、最終的に9で復旧作業のために初期>化しています。

確かに、図3の調査及び対処の内容を見てみると、
1.PCをネットワークから切断 -> 4.PCのログ解析
その後に9.対処で初期化をしていました!
問題を見落としていました、、、
2024.07.15 22:11

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop