令和6年秋期試験 午後試験【問1】についての投稿を受け付けるスレッドです。

いやー。疲れた。
まあまぁ解けたと思うんですが所々ストーリーがわからない箇所がありました。
最初のファイルアップロードを止める対応って、△しか管理者拒否に登録しないってことなんてすかね？

◯はベンダーが止めてるし、そうかなと思いました

文字数制限全然なくて、回答用紙で面食らいました…
アップロードのところはそんな感じだと思います、
追加調査で「どうやら⬜︎⬜︎⬜︎も怪しくね？」となるストーリーと解釈しました

○△⬜︎全部追加って書いちゃった……
部分点くれないかなぁ

勉強不足の時間不足がすぎる。アップロードのとこドメインユーザーごとに設定できるし、マルウェア感染で利用も危ないからもう拒否リスト全てにして完全に接続出来なくしてしまった......ダメなんかなぁ

いやー駄目だった。
勉強不足を痛感。

外部要因で色々トラブルあったこともかなりマイナスに作用した。残念、次回は半年後かー。

この投稿は投稿者により削除されました。(2024.10.13 15:27)

アップロードしてるっぽい□□□.com/v/q.ps1まで書いちゃったんですけど□□□.comだけで良かったのか…
部分点貰えますかね…？

未知の悪意のあるドメインに情報が送信される可能性もあると思って全てにしてしまった。。

いやーでも◯に接続できなくて観察入れずに⬜︎に接続してるし、普通念のため両方入れるでしょう。
後◯もベンダのリストにはいってても、普通の管理者なら念の為最初から入れるでしょう。
これは流石に回答をリードさせすぎな問題かと

私もです...

最小権限の原則に基づいて、許可リストは「業務上必要なURL」を、拒否リストには「全て」を記載すると書きました...

自分も○△⬜︎全部記載しました。時系列的には△だけっぽかったですが⚪︎も自社で拒否しといた方が良いと思うし◽︎もアクセスログに表示されている以上拒否して良いと思いました。

⚪︎⚪︎SearchなんたらっていうURLって拒否リストに入らないですよね？このURLから感染した可能性もありますが、フィッシングメール→△△△.comの可能性もあるしで、どこから感染したか明確じゃなかったので、私は入れなかったのですが…

ユーザーにローカルアドミニストレーター権限がある時点でクソ情シスだと思いましたが
これって普通のことなんでしょうかね。

そこを突っ込めることを期待して回答を進めましたが
結局指摘できずでした。

C社の調査結果に記載のあるURLすべてと書きましたね
根拠として薄弱ではないはず…

みなさんどのように各問題解答しましたか？

ベンダーリストは手動登録できなさそうだったから、△と□を全アカウント分、管理者リストに登録すると書いたけど

・□の要否
・管理者リストとベンダーリスト

このあたりが迷いどころ

追加調査3がわからずめちゃ時間消費した…
シンクライアントPCがドメイン入ってないからプロキシアクセスできず、
感染しても検知できてなさそうだったので個々にタスク登録調べるって書いた

調査1.2不十分だから追加調査3をやるってところ全然分からなかったけど、何書きました？

ファイルの送信を防ぐためだから該当ホストからのインターネットへの接続を遮断するって書いちゃった

>>20
installタスクの実行タイミングがログイン時だから、感染してからログインしてない仮想PCのディスクイメージを保守用PCでマウントしてFツールで登録タスクを調べるみたいなこと書きました。

厳しい会社ではユーザにローカルアドミニストレーターを渡しません。

installという名前のタスクが登録されているかどうか  と書きました

同じく追加調査3はタスクを書きました

多分みんなの回答を見て、IPAが模範解答決めるんやろなあ

アドミニストレーターアカウントでファイルサーバにログインしているなら、
同様にメールとかもろもろアドミニストレーターのドメインパスワードを使えるかと思いました（わからん）

>>22
天才すぎる
これ保守pcにマウントしてないともしかして不正解ですか？
installタスクが登録されてるか確認する、しか書いてなかった。
時間かかるってのが引っかかってたけどそういうことかぁ

>>27
adminでファイルサーバーにはアクセスしてなくないですか？
user019では？

前回より難しかった

>>28
わからないです…
もしかしたらIPAは保守PC使わない想定かもしれないのでその場合は私の回答がバツです笑

帰宅したので解答書いてみます
エンジニア歴半年の初心者なので間違ってるとこ指摘歓迎です

a PC-C
b ファイルサーバ
c ad01
d 利用停止

①該当ホストからのインターネットへの通信を遮断
②○○○.comなどのマルウェア関係が宛先の通信を抽出
③i.pslのタスク登録を確認し、あれば中身を確認
④タスクで検出、生成されるファイルのハッシュ値で検出

e 仮想PC間のRDP通信を遮断
f ファイルサーバからインターネットの通信をFWで遮断

プロキシの問、全て遮断にした。しかも文字数制限がないことをいいことに、現時点ではマルウェアの実体が分からないから機密情報を守るために全遮断すべき、とまで鼻息荒めに答えといた。だって実際こんなログ発見して「よし！ログになるURLだけ遮断しよう！」なんてならないよ。業務優先して対策は最小限に〜って時代は終わったと思う。
とにかく未知のものには大きく切り分けて実態がわかってきたら徐々に復旧。情報セキュリティは経営課題なんだから。

タスクの登録を調査するって、プロキシサーバーのログに残らないタスクの登録って意味であってますか？

>>22
なるほど、
私もログインしたら起動する的なことかなぁと思ったんですけど、installが登録されてるかどうかを書いちゃいました。確かにフォレンジックツール使ってなかったので、それ正解っぽいですね

追加調査3はマルウェアの動作（図4）マルウェア対策ソフトを停止するとこに着目して、
マルウェア対策サービス（表1）マルウェア対策ソフトの稼働状況の確認するにしましたがいかがでしょうか

a PC-C
b filesv
c ad01¥user019
d 一時的にログオン禁止

>>32
念の為だけど、2はfilesvとか表記は別ですよね？

下記の通り解答しました。手応え7-8割程度です。
仕組みに係る設問部分、仕組みなので管理運用的な人間臭い解答かと思いきや、
下線で自動的に検知する旨が記されていたので実際にはシステム的な解答っぽいですね。

PC-C

ファイルサーバ

ad01¥user019

パスワード変更

URLフィルタリング機能の管理者拒否リストにhttps://△△△.com/を追加して当該URLへのアクセスを拒否する

全L社内ホストを対象にhttps://△△△.com/及びhttps://〇〇〇.com/及びhttps://□□□.com/を宛先とする通信ログが存在していないか調査する

タスク名をinstallとするタスクが登録されていないか確認する調査を行う

各ホスト上で新たなタスクが登録された際に情シス部にアラートメールを送付する仕組み

各ホスト上及びマルウェア対策サービスの管理者用Webページより、いずれかのホスト上でマルウェア対策ソフトが停止された際に情シス部にアラートメールを送付する仕組み

仮想PC上のホスト間のRDP接続を禁止する

DLP製品を各ホストに導入して不正なファイルアップロード等の持ち出しを防ぐ

あ、そのまま書いてます…
user019も抜けてた…

最後の問題がさっぱりだったんですが、DLP製品ですか
なるほど〜

①は暫定対策だから、拒否リストに全てを追加するってかいた

>>22
それも考えたんですが既に同名のタスクがある可能性が示唆されてるので
・マルウェア対策ソフトの稼働状態(管理用web)
・1時間毎の○へのアクセス(プロキシログ)
にしちゃいました

最後の問題は、問題文中で解決策となる機器やサービスが導入されていなかったので、知識問題だと判定して思い切ってDLPと書きました。

上のは④でした
申し訳ない

ファイルサーバにログインしたのはアドミニストレーターじゃないんですね

最後の問題、シンクライアント使ってVDIのみに…みたいな解答じゃダメですかね？

eなんですが、そもそも多要素認証にするって書いたんですが、考え方としては良くないでしょうか？

そもそもマルウェアが停止できないようにローカルアドミン権限をやめる、的なことを書きました

仕組み1個目は定義ファイルにpsファイル追加

PC-CへのRDP接続が成功しているのを気付かなかった…。詰んだ…。

こんな感じの解答にしました  ↓
1.(1)flilesvr
   (2)仮想ホスト
  (3)ad01¥user019
   (4)使用停止の設定
  (5)拒否リストにhttps://△△△.com/及びhttps://⚪︎⚪︎⚪︎.com/、htpps://◽︎◽︎◽︎.con/を登録する
  (6)net1.csvの内容にhttps://△△△.com/及びhttps://⚪︎⚪︎⚪︎.com/、htpps://◽︎◽︎◽︎.con/への接続を試行した履歴が無いか調査する
  (7)srv.csvにVSCAN.csvが停止された履歴が無いか調査する
  (8)①マルウェア対策ソフトにi.ps1とq.ps1 をマルウェアとして定義する
    ②自信に割り当てられていない仮想PCに対してRDP接続を試行したら情シスにアラートメールを送付する
2.e.PowerShellの実行ポリシーを設定し、pingコマンドの実行を禁止する
  f.PowerShellの実行ポリシーを設定し、指定したURL へのファイルのアップロードを禁止する
  

最後の問題は、プロキシサービスで通信内容の複合化ができるとあったので、複合化して通信内容にファイルが含まれていた場合に通知するとしました。

ファイルサーバのアクセス権って議論されてました？
認証通れば何でもみれると思ってaをfilesvにしてしまった…

>> No.46 なるほど様
各ホスト上で利用者が有しているのはNW全体ではなくローカルホストの管理者権限です。ファイルサーバに対してログインする時には利用者IDでログインする旨が記載されていますので、PC-Aからファイルサーバを利用する際にはuser019側を利用しアクセスする物だと思われます。

dは、アカウントロックにしましたがどうだろうか。

dは文章の中に仮想環境から切り離すみたいな記載あったからそのまま入れたなあ

DLPは仕事でやったから思いついていたけどツール導入は技術的対策なのかと考えてやめてしまった…

設問1
  (1)PC-C
  (2)filesv
  (3)ad01¥user019
  (4)アカウントロック
  (5)管理者許可リストに業務上必要なURLを記載し、管理者拒否リストに"全て"と記載する。
  (6)https://⚪︎⚪︎⚪︎.com/への接続を試みたログのあるホストの調査
  (7)pingコマンドを使ったホスト
  (8)・マルウェア対策ソフトの停止を検出する仕組み
      ・pingコマンドを使ってホストを探索し、RDP接続の試みを検出する仕組み

設問2
  e.PCどうしのRDP接続を遮断する
  f.社外秘情報Lやパスワードなどのインターネットへの送信を遮断する

最初は利用停止と書いたがPC_Aの利用従業員が困ると思いパスワード変更くらいにしておいた。

>> ゆーぼ様
あくまでPC-Cのパスワードクラックしたのはローカルアドミニストレーターの方で、それからドメインに参加しているファイルサーバの方はユーザアカウントでログインしたのですね。
ありがとうございます。

(3)はad01¥user019ではなく、PC-C¥administratorじゃないですか？
RDPで接続可能だったのは.¥adminアカウントですやね？

設問2

・ローカルアドミンやめれ
・プロキシサーバー、暗黙の拒否にしようよ

あ～、いや自己解決、、
1と2入れ替えて考えてる、、しくじったなぁ

>> SC頑張るマン様

ファイルサーバはドメインに参加していますので、そのドメイン（LDAPサーバ）のアカウントには、ローカルアドミニストレーターではなく、user019が登録されてるんだと思います。

（６）の追加調査ですが、C社の解析結果で新たに発覚した情報として、「パスワードまたはパスワードハッシュをPCのメモリ上から摂取する」とあったので、不正アクセスの調査を回答としましたが、同じ人いますか？？

PC-C¥administrator！？  なんで！？

設問1(2)は¥¥つけてしまったけどfilesvが正しそうですね…(部分的くれないかな)

〜〜〜
問1
設問1
(1) a PC-C
(2)b ¥¥filesv
(3)c ad01¥user019
(4)d アカウントの無効化
(5)プロキシサービスの管理者拒否リストに対して「⚪︎⚪︎⚪︎.com/＊」,「△△△ .com/＊」,「◻︎◻︎◻︎ .com/＊」の3つを追加する。
(6)プロキシサービスの通信ログのうち、FQDNが「⚪︎⚪︎⚪︎.com/＊」,「△△△ .com/＊」,「◻︎◻︎◻︎ .com/＊」に一致するログの利用者IDでログオンされた社内ホストがないか調査する。
(7)すべての社内ホスト上のタスク登録をスタンドアロン状態にしたうえで確認し、タスク名:install タスクが実行されていないか確認する。
(8)
(1)Fツールを定期的に社内ホストで実行し、srv.csvファイルからタスクの登録、削除、開始及び停止のログを抽出し、アラートを発出するよう追加開発を行う。
(2)プロキシサービスの通信ログにFQDNが「⚪︎⚪︎⚪︎.com/＊」,「△△△ .com/＊」,「◻︎◻︎◻︎ .com/＊」の宛先を持つレコードが記録されたら、情シス部にアラートを発出し、対象レコードの利用者IDを持つ従業員のドメインユーザーを必要に応じて停止する。
設問2
e 各ドメインユーザーの仮想PC上のローカルアドミニストレータ権限を剥脱する。
fインターネット 上へのファイルアップロードは原則許可せず、必要な宛先FQDNはホワイトリストに追加する。

Q1-1  PC-C
Q1-2  ファイルサーバ
Q1-3  ad01￥user019
Q1-4  利用可能な権限の停止
Q1-5
すべてのドメインユーザのURLフィルタリング機能で、
管理者拒否リストに「https://△△△.com/」を設定する
Q1-6
プロキシサーバの通信ログで「https://△△△.com/」と接続したドメインユーザを抽出し、そのドメインユーザの権限でログオン可能なホストを調査する。
Q1-7
Fツールで収集した証拠データの「srv.csv」に、タスク名「install」が登録されているホストがいないかを調査する。
Q1-8  
１つ目
マルウェア対策サービスで、マルウェア対策ソフトの稼働状況が一定期間確認されないホストを検知した場合、アラートメールを送信するように設定する。

２つ目
プロキシサービスのすべてのドメインユーザのURLフィルタリング機能で、管理者拒否リストに「https://□□□.com/」を設定する。

Q2  いい感じのこと時間内に思い付かず…
    どっちもドメインユーザの権限を最小限になるよう見直す  って書いた

みなさまお疲れ様でした。

全体的に出来が悪かったのでまた春に向けて備えようとと思います。

最後の問いはやけくその製品頼りでEDRとDLPにしました。笑

>> 自信ないさん

(1)Fツールを定期的に社内ホストで実行し、srv.csvファイルからタスクの登録、削除、開始及び停止のログを抽出し、アラートを発出するよう追加開発を行う。

タスクの追加は通常業務でも発生するから多分❌…？


(2)プロキシサービスの通信ログにFQDNが「⚪︎⚪︎⚪︎.com/＊」,「△△△ .com/＊」,「◻︎◻︎◻︎ .com/＊」の宛先を持つレコードが記録されたら、情シス部にアラートを発出し、対象レコードの利用者IDを持つ従業員のドメインユーザーを必要に応じて停止する。

アラートメール出すとしたら遅いから多分❌…？

暫定タイプだしとりあえず◯△▫︎全部突っ込んだけどインシデントタイプ中のクソ忙しい時に怪しいURLの中からピンポイントで一つだけブロックってのは結果論ありきだと思うんだがどうなの

ad01¥user019のところ、勘違いしてuser019と書いてしまった。。これは部分点とかさすがにないか。

業務上、仮想PCでやれることの自由度がどれくらい求められるのか設定されてないから、とことん締め付けを厳しくしちゃった。
「利便性のために最低限の対策としたい」とか添えてあったら良かったのに。
個人的には、仕事の端末からインターネットに自由にアクセスできるのが当たり前なほうが怖いと思うし。

まず調査は(字数制限が無いのをいいことに)徹底的に、Fツールで観測された
外部サイトへの定期的なアクセス、ファイルアップロード通信、シェル実行、社内LANノード間のRDP接続
これら全ては業務上起こり得ないはずのものと考えた。

・セットアップ後には仮想PCからローカルユーザーからアドミン権限を剥がす(要らないもんね)
・仮想PC同士のRDP接続を禁じる(Windowsで設定できる)
・業務上インターネットで接続できればいいのはSaaSだけだろうと考えて、
仮想PCからは、SaaSのサイト以外は基本的に外部インターネットとのイン・アウト通信を禁じる(マルウェアで繋いだところも塞がれるし、ファイルアップロードもできない)
ってした。良いか悪いかは知らない。。

自分はあの暫定対策の段階では明らかに悪意があると断定される◯◯◯.comと△△△.comだけ管理者拒否リストでブロックするとして、◻︎◻︎◻︎.comは止めない回答にした
◻︎◻︎◻︎.comが実は業務に必要なサイトである可能性もあると考えて(時間的に怪しいけど夜間バッチもありうる)不用意にブロック対象増やして業務影響出たら嫌だなと思ったからだけど、もうすでに出てるから関係ないのかな、、

設問1(2)はホスト名を答えろだからfilesvか…
ファイルサーバって書いてしまったが1点くらいほしい

どっちとも正解になりそうな問題やめて欲しい
問1まあまあ悪問じゃないか？

(7)の下線③もイマイチしっくりこないのですが何なのでしょうか？
暫定対策や追加調査1-2(6)下線②でアクセスログから攻撃URLと通信している（そもそもこの回答が違う説）のは弾けそうですから、それだったらps1拾って来れない気もします。
仮想PC間でデータ送ってスクリプト送り込む方法もあるのかもですが。
「調査には時間が掛かる」（問題文から）っていうのも気になります。
わからなさすぎて適当に「RDP接続が成功しているログに攻撃者によるものがないか調べる」という的外れなのを書いてしまいました。

この投稿は投稿者により削除されました。(2024.10.13 19:50)

設問1(2)のせこい引っ掛けまじでやめれ
こっちは問題理解するのに必死で余裕ないねん！

問題作成者見てるなら出てｋ･･･

問1も問2も質問の代名詞が二つの言葉(アルファベット表記とカタカナで表記、同義)を指すような問題あったわ
ちゃんと一意に特定できるように問題文練って欲しかった

「調査には時間が掛かる」
こういうの、いつまで？って思う。
主観でどうとでも捉えられるような問題出すのはどうかと思う。
そのくせ解答が抽出的だと正答にしないとかあるの見ると出題者の質に疑念が生まれる。

「暫定策」なんだから、すべてのドメインユーザの全ての通信を拒否にしたらいいのではないかなと。
過激すぎるかもしれないが、まだマルウェアの動作が判明していないのだから、秘密情報の漏洩を絶対に防ごうとすることに重きを置くのでは？

問1は全体的に何が何やら分からなくなったw
最終問題はDLPと言われればそういえばとなるけどマルウェアが持ち出すて書いてるし、マルウェアならそもそも権限取られたりするからDLPで良いのかなとなるし
暫定対策でピンポイントURL指定するのかとか、RDPというのも合わさって掴めずとにかくこんがらがって落ち着いた思考が出来なかった
2個書けてマルウェアの挙動から抜き出して選んで2個書くのか…とここ見て初めて何を書くのか分かった、EDRじゃダメなの？

この投稿は投稿者により削除されました。(2024.10.13 20:35)

(7)の追加調査はは「保守用PCのフォレンジックツールを用いてパスワードまたはパスワードハッシュが窃取された痕跡を調べる。」みたいな感じで回答しましたね。
フォレンジックで痕跡が調べられるのかは詳しくは分からないのですが、なんか時間はかかりそうだな～と思ってこの答えにしました！

(7)でメモリのフォレンジックもよぎりましたが、それだと「L社内ホストの全て」に行うのもよくわからないしな…と答案に書いてて思って消しました

一部解答に余地が有る設問があったと思いますが、
ある程度解答幅がある出題はいつもの事だと思います。
午後は単なるセキュリティの知識を問う物ではなく、
現代文的な要素が非常に強い試験なので...

mindcさん(No.64) さん
>（６）の追加調査ですが、C社の解析結果で新たに発覚した情報として、
>「パスワードまたはパスワードハッシュをPCのメモリ上から摂取する」とあったので、
>不正アクセスの調査を回答としましたが、同じ人いますか？？

→パスワード・パスワードハッシュの窃取履歴有無と回答しました。
  メモリ内のクレデンシャルの出痕跡等の観点では調査されていないため
  この観点での追加調査が必要かと思い。
  (パスワード窃取された結果、不正アクセスされるまで発想できませんでした）
  

最初の調査はプロキシログから○○○.comに通信しているホスト、追加調査3はFツールを全ホストで使用してsrv.csvを出力しinstallタスクの確認としました。

こんな感じで解答しました

問1
設問1
(1)a PC-C
(2)b filesv
(3)c ad01¥user019
(4)d アカウントロック
(5)プロキシサービスの管理者拒否リストにhttps://△△△.com/v/uplを追加
(6)プロキシサービスの通信ログでhttps://△△△.com/i.psにアクセスした端末を検索
(7)タスク:installが設定されている端末を探す
(8)
(1)タスクにinstallというタスクが登録されたら通知すら仕組み
(2)マルウェア対策ソフトが停止されたら通知する仕組み
設問2
e local admin accountに対してのRDPの禁止
f プロキシサービスによるファイルアップロードの拒否

1(5)はプロキシがURLしか登録できない、ファイルのアップロードを止めるなのでこれにしました

Fツールって常駐じゃないんですかね？常駐だとレジストリへのアクセス考えるとローカルadminが必要悪になる。常駐じゃないとなるとマルウェアの活動の自動検知にはFツールは使えないということになる。試験中はローカル端末上で常駐するアプリだと思ったけどどうなんだろ？レジストリといってるから仮想PCがWindowsであることは確かなんだろうけど。

設問1
(1)a PC-C
(2)b filesv
(3)c ad01¥user019
(4)d 凍けつ  ←★恥ずかしながら本当にこう書きました
(5)プロキシサービスの管理者拒否リストにhttps://△△△.com/v/uplのURLを追加。
(6)https://〇〇〇.com/にアクセスしたホストが他にないか調べる。
(7)「install」という名前のタスクが登録されているか確認する。
(8) ←★「通知」の文言を入れないと減点・・・？
①マルウェア対策ソフトの停止を検出する仕組み
②RDP接続の失敗を検出する仕組み

設問２
e: 仮想PCを仮想環境の仮想スイッチから切り離す
f: ファイルを仮想PCにではなく、ファイルサーバに保存する。

>>頑張り屋さん

私も最初はプロキシで全て遮断したらええやん！って思いましたが、業務が止まりかねない措置は❌かと…

設問1
1 PC-C
2 ファイルサーバ
3 ad01￥user019
4 全ての権限の無効化
5 URLフィルタリングに3つのURL（丸三角四角）を追加
6 プロキシサーバログについて、3つのURLとの通信の有無を確認
7 L社内ホスト全てに対してFツールを実行し、file.csvの「i.ps1」作成ログの有無、srv.csvの「install」タスク登録ログの有無を確認
8 E社SaaSのマルウェア対策サービスを使ってマルウェア対策ソフトを管理、マルウェア対策ソフトが停止したら情シスにメールを送付 / マルウェアの定義ファイルを自動で最新化する、定義ファイルが古いままのマシンがあったら情シスにメールを送付

設問2
e 仮想PCでマルウェア検知の場合、仮想スイッチからの切り離しを自動で行うよう設定
f URLフィルタリングで管理者拒否リストに「すべて」設定し、管理者許可リストに業務上必要なURLのみ設定する

CISSP的には可用性軽視系の選択は即アウトだけど支援士試験も流石にガン無視はアウトじゃないかなあ、支援士試験の可用性はどれくらい担保すればいいかよくわからんけど

この投稿は投稿者により削除されました。(2024.10.13 22:00)

設問1-8
EDRの導入でエンドポイントの異常検知&自動隔離
NDRの導入でNW上の異常検知(横展開、持ち出しなど)

と書いてしまったが、短絡的過ぎたか…？
採点や如何に…。

>> サバ味噌さん
> 業務が止まりかねない措置は❌かと…
このような措置で被害が拡大した企業がたくさんありますよ。
なんせ通信は見えませんから。
ウィルス繋がりでいうと新型コロナウィルスだって最小範囲の感染対策が感染を拡大させましたしね。
医療でも院内感染がひとたび起これば感染対策の基本はゾーニングといって大きく遮断です。
昨今は自社業務継続よりも顧客、社会に対して悪影響与えないことが最優先かと思います。
どこまでの範囲を遮断したかではなく、「遮断をする」という回答が支援士的には求められる内容であってどこまでの範囲かは許容してもらいたいところですね。

暫定て言葉がなくて、
結果こうだったから、こうするていう確定話なら文中にあるURL指定だろうけど
暫定的ならまず切り離すのと同じで、プロキシからインターネットに出さないのが初手で、
最後の問題の不正に持ち出された所では原因特定が済んでURL指定になるのかと思った
不正な持ち出しはDLP対処？でもマルウェアはサーバから見たら正規ユーザーと区別つかなくない？
ストーリー解釈が違うとヤバいことになってまうわw

試験に出てきた言葉を使って解答するの大変。

勝手に想像して採点バツもらうけど、｢仕事ではこうだよね｣｢現場じゃこんなの怒られるでしょ｣とか、飛躍させてしまうよね。

どんなに突飛な発想だろうと、そこに論理性が備わってさえいれば点数はくれると信じてる。字数制限もないし、将来の支援士として自由に発想しろってことでしょう。もちろん「足りてない発想」はダメでしょうけど。

問題なのはどれくらいの点数をくれるのかだね...こりゃ採点する側も大変だわ。

(3)PC-A￥ad01￥user019と書いてしまった。。。
ad01￥user019は表5で利用者idと書いてあったのでPC-Aを付けてしまったがよくよく考えると確かにアカウント名にPC名入るのは変だよなぁ

回答

問1
(1)a.PC-C
(2)b.filesv
(3)c.ad01\user019
(4)d.無効化
(5)管理者拒否リストに”全て”と記載し、全てのURLへのアクセスを拒否させる
(6)宛先が「https://△△△.com/v/q.ps1」で宛先ポート番号が「443」で通信許可されたログを調査する
(7)マルウェア対策サービスの管理用Webページｄマルウェア対策ソフトの稼働状況を確認する
(8)
・マルウェア対策ソフトが停止した時、情シス部にアラートメールを送付する
・i.psおよびq.ps1の実行を検知したときに情シス部にアラートメールが送付されるようにマルウェア対策ソフトを設定する

問2
e.仮想PC間のＲＤＰ接続を禁止する
f.信頼されていないスクリプトの実行を禁止する


コメント
・(5)はおそらく×（か部分点ほしい）※束の間の休息さんの言うようにこの段階の暫定対応では全てでも良いと思った
  →P8表5の下で「PC-A、PC-C、filesv上のファイルでad01\user019でアクセス可能なファイルがインターネットに送信されているおそれがあると考え、図3の暫定対策と追加調査を行った。」とあるので、この問題で問われているX主任、Yさんが行いそうな暫定対策の回答に一番近いのはドメインユーザuser019に対する管理者拒否リストに〇△□のURL登録が正しそう。
まあ上の「」があったとて、すべてのユーザでもやばいかもしれないから全て拒否、と考えても良さそうだが…。追加調査2をしている間にもどんどん感染が広がっていたら後手後手だと思うし。
  ⇒と思ったが、感染したあとの12/6でURL〇へのアクセスが拒否されているから、ベンダー拒否リストが日次の更新で〇へのアクセス拒否＋マルウェア感染カテゴリに一致しアラート通知されるようになった。つまり他のPCでは起きていないと推測できる？？でもマルウェアの動きが完全にわかっていないタイミングで、他へ通信していたら被害は拡大するしな…

・(6)は〇のURLアクセスのログを調査する、が正しそう。

・(7)はタスクinstallが登録されているか確認が正しそう。
  マルウェア対策ソフトの稼働を確認でもいい気がするけど…
  仮想PCが常時起動中なのかもよくわからないけど

全体的に解答が複数出そうな問題でした。採点はどうするつもりか…

最後の２つは
・仮想PCから他の仮想PCへのRDPによる接続を禁止する。
・ファイルサーバーの接続には、IDとパスワードによる認証だけではなく、多要素認証による認証にする。
にした。プロキシサーバではファイルの持ち出しを止められないように思ったし、DLPなんて全く思いつかなかったな...

今回のパターンみたいな典型的な流出にすら反応できないならDLP要らんし…

「仕事ではこうだから」と自信満々に書いてバツになるベテランエンジニアの方はいますね。
「試験だから出題者が求めている答えはこう」と割り切って回答する若い方のほうが受かっちゃうのは何というか。

最後の対策のやつ
仮想L2にpvlan設定するもワンチャンありかなとか思いました。
午前2で足きり確定したので無駄な考えですが。

プロキシの設定はデフォルトは全拒否で、必要なものだけ許可でいいようです
根拠はIPAが翻訳出してるNISTのインシデント対応ガイドになります
www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025349.pdf
3-14頁より
>マルウェアインシデントを防止するため、組織はデフォルトで拒否のルールセットを実装するべきである。
>つまり、明示的に許可されていないすべての内向きおよび外向きのトラフィックがファイアウォールによって拒否されるようにする。このようなルールセットを設けておけば、マルウェアは、組織に
とって不要とみなされるサービスを利用して拡散することができなくなる 
とのことです

DLPでマルウェア対策はしないでしょ
外部と通信するようなマルウェアはキャプチャとるとか何の動きするか分からないので
感染したらマルウェア固有の動きを封じる対策するしかないと思いますが…。

設問2のeは、L社内ホストへのログオンを多要素認証にすると書いたけど、少しは部分点入ってくれないかな…

みんなと違って
a  filesv
b  PC-C
C  adninistrator
にしました

ファイルサーバーへは当然PC-Aで普段使用しているアカウントでのアクセスが想像されるが、
わざわざアカウントを問題で聞いてくるということは、
PC-Cへuser019が失敗してadninistratorが成功していることを読み取ってほしい意図があるのではないかと深読みしましたが、どうでしょうか

>> ハナ様
DLPはマルウェア対策のソリューションとしても導入されています。
利用者が操作しようとマルウェアが操作しようと特定のファイルの監視･読み書き検知･POSTメソッド等によるアップロードの防止等は有効です。
(実際に私が構築に携わった企業様でもDLPをマルウェアに対する多層防御の1ソリューションとして導入しています。)

>> 2回目受験のそそ様
私も最初はその回答の通りにしましたが、
見直しの際にPC-C/ファイルサーバ/user019に落ち着きました。

その後のマルウェアの挙動の部分で、
｢RDPで接続できる端末に対し感染｣的な文言が有る為、
当該マルウェアが感染するのは到達可能なホストからファイルを読み込んで圧縮した段階ではなく、RDPで接続した段階だと明記されていた為です。

→ファイルサーバはただファイルを読み込まれただけ
  PC-Cは明確にRDPで横展開を行う挙動で接続された(感染の疑いが高い)

空欄部分の文章だけだと、どちらとも取れてしまいますよね。

いや、やっぱり違うな

ドメインサーバーでアカウント[c]の[d]を行う
↑
表3の注釈からadminiはローカルユーザーのようなのでドメインサーバーでアカウント操作できないな

失敗した
ここで3つ点失うのは痛い

あとPC-Cに対するuser019でのログインが遮断されていた理由は、
各仮想PCのホスト毎にログイン可能なドメインユーザが制限されていたからかと思われます。

対外的な攻撃/マルウェアに対する防御策としてのDLPは、Microsoft PurviewのDLPに係る紹介ページ(日本語訳されています)や、JBSのコラム記事が参考になります。問題文とは反れますがクラウド型DLPであればGoogle Cloudの公式リファレンス(英語版)も参考になります。

問1
(1)a.PC-C
(2)b.filesv
(3)c.ad01\user019
(4)d.無効化
(5)URLフィルタリング機能の管理者拒否リストに”〇〇、△”3つのURL（丸三角四角）を追加
(6)宛先が「https://△△△.com/v/q.ps1」で通信許可されたログを確認
(7)Fツールを起動しデータ収集
(8)
・(プロキシ設定に関する何かを記載、詳細忘れ)
・i.psおよびq.ps1の実行を検知したときに情シス部にアラートメールが送付されるようにマルウェア対策ソフトを設定する

問2
e.業務に不要な仮想PC間のpingコマンドの実行、ＲＤＰ接続を禁止する
f.システム管理者以外のマルウェア対策ソフトの停止権限を削除する

設問1(5)、業務都合上許可が必要なものの即時洗い出しは困難と予想し、やばいものだけ拒否リストに登録、と記載。
設問1(8)、設問2の記載は最後まで悩ましかった。
6割難しいかなぁ。。

>>つかさん
気休めにもなりませんが
URLフィルタリングを全遮断した以外は私、ほとんど同じような回答です。
多少の表現違いを採点官がらどうするからですよね。
今回文字数制限も撤廃されたので論理的に間違ってなければ正答にしてほしい。
以前のようにIPAの御用回答じゃないとダメ！みたいなのは勘弁してほしい。

全遮断にした理由はC社の解析結果が即答されたものという表記がなかったからです。通常、セキュリティ会社に当該ファイルのHASH値を送っても調査結果が返ってくるのは最速で数時間後です。即答はまずない。なぜなら全ての連絡手段がメールだから。先日、SymantecのWindows10update誤検知でさえ6時間かかりました。6時間あれば大量の情報流出可能です。なので文脈的に暫定対策→解析依頼となっている以上、解析結果がわかるまでは全遮断すべき。業種的にもソフトウェア開発会社であり、影響の大きい金融関連サービス提供会社とかでなく、ネットワーク構成的にも全遮断による影響は許容できると考えて良いのではないかと思いました。更に自作のFツールが吐き出すcsvもHASH検証(この場合はHMACか？)やタイムスタンプが取られてるとは考えにくいので改ざんされてる可能性もある。自作ツールの出力ファイルなんて改竄されるわけないじゃん！って思うかもしれませんがこのインシデントの犯人がX主任やYさんである可能性も否定できない以上、自作のFツールの情報に全信用を置くのはどうかと思う。わざわざ「自作」ってしてるのはそこなんじゃないかと。セキュリティ的には自作は商品とは違う面も考える必要はあると思います。長文失礼しました。

設問１
（１）PC-C
（２）filesv
（３）user019
（４）アカウント停止
（５）管理者拒否リストへhttps://△△△.comを登録する。
（６）https://△△△.comへアクセスしたログがないかを確認する。
（７）保守用PCにディスクイメージをマウントしFツールを実行する。
（８）
・マルウェア対策サービスでソフト稼働状況を監視しソフトが停止されると情シス部にアラートメールが送付されるように設定する。
・PowerShellで署名のないスクリプトの実行を検出すると情シス部にアラートメールが送付されるように設定する。

設問２
（e）仮想PCのローカルアドミニストレーター権限を付与しない。
（f）仮想PC上ではファイルの生成は不可にする。

1.(3)アカウント名を回答するって理解したらホスト名¥ad01¥user019って書いちゃったな...

この投稿は投稿者により削除されました。(2024.10.14 13:48)

許可リストで業務上必要なサイトに絞り、
拒否リストで「すべて」にするのが一番なのかなーと思いました。
わざわざ許可リストと拒否リストの優先順位を記載してたのでどっちも使うんだろうと。。笑

マルウェアとの通信サイトのURLはいくらでも変えられてイタチごっこになると思うので、〇✕△だけの指定は弱いと思いました。

>>チーバちゃんさん
私もfにそう書きました！
でも、「業務上必要なサイトを絞る」って実際やったら「暫定対応」にしては大変すぎると思うので、1.(5)の時点ではやらないと思います。
ただでさえ忙しいときに業務部門から「このサイト使うから穴あけよろしく〜」みたいな連絡来るなんて逆に邪魔ですし、落ち着いた後の問題解決フェーズでゆっくりやる作業かなと思いました！

暫定対策のところは、まだ何が原因かもわかってないので、「管理者拒否リストに”全て”、許可リスト設定なしにする」と書きました。

なので自動検出の仕組みには、「管理者拒否リストに対して「○○○.com」,「△△△ .com」,「□□□ .com」を追加する」と書いたけど、暫定策がNGならこれも連動して間違いに…

問2は知識の有無で回答可能な正統派な感じだったけど
問1は知識より、迷う部分が多かった印象

例えば過去問では「パスワードの変更」という時があったし、今回は「無効化」と思うけどかなり迷った
全てのWebに接続可能なのも業務上必要ということなのか指摘点なのかも迷ったし、
暫定的というのが、その時点での行うべき設定を答えるのか
拒否リストやログ調査も、マルウェアという性質を考えれば全てURL書くべきなのか
管理者権限は何らか知識問題の気もしたけど関係なかったぽい？
最終問題は持ち出されたのは全てのWebへ許可して出口開けてるのが最大要因だけど勝手に拒否できないからどうしようと、
ここは上に出てたDLPだとすると外部漏洩と解釈せずマルウェアもあまり考えずデータ持ち出しという言葉だけで対策を即答したら出てきたかもなと思った。

最終問題、問題文の中にあったシステムじゃ対応できなさそうだから、知識解答ぽいね。
プロキシは復号できたとしてもURLフィルタくらいしか言及なかったし。

ウイルス/利用者問わない持出し対応としてのDLPか～、
事前定義した持出しをホスト上のログで検知するEDR/EPPか～、
プロキシ自体をDLP的機能を持つクラウドプロキシサービス/IAPに乗り換えるか～、とかの解答かな。

明確に技術的対策って項目名ついてたから、絞りやすくはあった。

最終問題、知識問題だとは捉えてなかった。
リモートデスクトップ接続の禁止が一つ。
もうひとつは、アーカイブ作らせないようpowershellの設定を〜、と書いたんだがRARファイルは解凍しか出来ない事に帰り道で気付いた。

>>50スクワット毎秒様、おかゆ様
eのRDPの接続禁止については問題文ベースの解答、
fについては知識ベースの解答な感じがしますね。

ps1の実行の制御は対策済ですし、
持ち出しについてはアーカイブ有無問わずに、
ファイルサーバから直に読んで単体ファイルを送出してしまえば持ち出しは可能なので。

問1
(1)a. PC-C
(2)b. filesv
(3)c. ad01\user019
(4)d. 停止
(5) URLフィルタリング機能の管理者拒否でad01\user019に対して "全て" を設定する
(6) 宛先が「https://△△△.com」「https://□□□.com」の通信ログを確認
(7) installタスクの登録がないかチェックする
(8)
  ・URLフィルタリング機能の管理者拒否でhttps://△△△.com/v/uplを設定しアップロードを拒否する
  ・URLフィルタリング機能の管理者拒否でhttps://〇〇〇.com/、https://□□□.com/を設定し、コネクトバックを拒否する

問2
e. 仮想環境のローカルアドミニストレータ禁止
f. SCAN_SVCを停止できないように権限設定する

-------------------------------------------
実際に起こったときを想定すると以下の流れかなーと思って回答しました
6割超えてるといいな。。。

〇初動
  (1)～(6)までが初動で「詳細はまだ不明だが情報漏洩した可能性」があるという状況
  そのため、これ以上の被害拡大を防ぐことを第1優先として攻撃されたであろう「ad01\user019」を全拒否

〇詳細判明
  (7),(8)のタイミングで攻撃の詳細が判明
  詳細が判明したことにより被害は「ad01\user019」以外にも広がった可能性があることが判明
  全ホストのinstallチェックをするには時間がかかると記載されているため、
  このタイミングの最優先事項として、これ以上の情報漏洩拡大を防ぐことになる。

  対応の選択は複数あるもが、今からスクリプトを作成するなどは作成・検証などに同じく時間がかかるし、
  ウィルス対策を復帰させても防げるかは現時点では不明なため、実績のあるURL拒否機能を利用する
  アップロードURLを拒否することで追加の情報漏洩を防ぐ
  また、コネクトバックが残っていると攻撃者から別の攻撃を受ける可能性があるので「コネクトバックURL」を拒否
  この2つを実施すると、落ち着いて以降の対応をすることが出来るので最優先としてこの2つを実施
  
〇根本対応
  e,fが根本原因に対しての対処
  詳細でアップロード、コネクトバックを防いでいるので、検証や調査などに時間がかかっても問題ない

(5) 全通信を遮断する
(6) ◯△×と通信した端末がないかを探す
(7) Fツールで、◯△×と通信した端末がないかを確認する
(8-1) プロキシサービスで、◯△×との通信を禁止し、通知メールを送信させる
(8-2)  マルウェア対策ソフトの定義ファイルを更新し、i.ps1、q.ps1をマルウェアとして検知するようにする

ちょっと◯△×に頼りすぎかな...？

いや、(7)は今後活動するおそれのあるホストを探すだから、通信ログを見るのは間違いか...もう活動してるもんね

問1は中盤以降が全問不正解かも・・・。
マルウェアに感染しながら切り離さず安全に？続行し
異常検知するにも仮想PCで常時起動してるのかとか・・・
ログ書いてあってプロセスとか権限関係かもと思ったり
テンパりまくってしまった・・・。

もう次回がんばります！
でも次回ってセキュアプログラムになるんじゃ・・・。
（みんなテンパってて1チャンスくらいないかなぁ、別選択の問題は結構できたはず、もう50点台は嫌や・・、過去分によっては余裕でいけそうだった時もあるけど前回傾向変わったばっかだし先行き懸念）。

設問１
（１）filesv
（２）PC-C
（３）.\administrator
だとだめですかね…？
PC-Cに対しては、user019では接続失敗で、.\administratorで接続した時のみRDP接続が成功していたので、
この組み合わせなのかなあと思っていたのですが…

問1(3)c. user019
って書きました。
ドメイン名ないとダメですか？
わざわざ「注記に従って」なんて書き方するんじゃなくて
「ドメイン名を含めて答えよ」にしてくれよ。

>>>みみみみん様
マルウェアの挙動の部分で、ファイルを読み込んだ段階で感染する旨は記載されていないので、×ですね。(一見空欄の部分だけ見ると、みみみみん様の解答でも整合するように見えますが、マルウェアの性質の部分を見ると誤答となります。感染した可能性が有るのはRDPで接続された履歴が有るPC-Cです。)

>>>いちに様
明確に注記の表記に従ってとあり、
注記では｢アカウント名＝ドメイン名\利用者ID｣と書いてあるので×ですね。

私も上の何名かと同じような感じで、
（１）filesv
（２）PC-C
（３）administrator
と書きましたね…。

冷静に考えたら多分、他の大多数の方の回答が合ってそうですが、上の回答も正解と見えるような問いになっているようにも見える(諸説ある)

なるほど、マルウェアの性質的に一択か…。
初手3問を落としたのは痛いけど、他で合っててくれることを願いたい……。

マルウェアの性質の説明部分でファイルを読み込む段階で横展開はせずRDP時点で感染する旨が記載されているので、誤答ですね。

設問1
(1)  PC-C
(2)  ファイルサーバ：（部分点ください）
(3)  ad01\user019
(4)  パスワード変更：（停止は過剰対応かなと）
(5) URLフィルタリング機能の管理者拒否で◯、△、□を拒否。
(6) 通信が拒否されているエントリを抽出し、通信元のホストを調査する。
(7) 保守用PCに仮想PCのディスクイメージをコピーしてマウントし、保守用PC上でログオンしたうえで、Fツールを実行する。
(8)
  ・マルウェア検知ソフトの稼働状況を監視し、停止された場合にアラートメールが届く仕組み
  ・q.ps1の実行を検知したときに情シス部にアラートメールが送付されるようにマルウェア対策ソフトを設定する

問2
e. 仮想PC同士のRDP接続を禁止する
f. 送受信量を監視し、異常なトラフィックを観測した場合に通信を留保する
-------------------------------------------
最後の技術的対策はほんと分からず、送受信量のデータだけ使ってないな・・と思って苦し紛れに書きました。でも観測した時点で流出してるだろうから有効対策じゃないですよね。

>>>ゆーぼさん
ご丁寧にありがとうございます…！
私の理解力が乏しくイマイチ腹落ちはしなかったですが、
上でいろんな人が言っている通り×なんだろうなあ…
他もギリギリそうなのでここの3問落とすのは痛い…くぅ…

1
(1) PC-C
(2)filesv
(3)user19
(4)無効化措置
(5)⚪︎⚪︎⚪︎.com,△△△.com,◻︎◻︎◻︎.comを管理者拒否リストに追加、⚪︎⚪︎⚪︎.comの被害をベンダーに報告
(6)他の仮想PCから⚪︎⚪︎⚪︎.comなどへの通信履歴がないかどうか調べる。
(7)保守PCを含め全ての仮想PCに対し、Fツールを実行し、攻撃者のサーバへの接続履歴、i.ps1,q.ps1の存在の有無を調査する
(8)
- "install"というタスクが追加された場合、あるいはi.ps1,q.ps1というファイルが自動でダウンロード又は作成された時に「不審な動作を検知、情シス部に連絡」といったアラートを表示させる
- マルウェア対策ソフトが停止した場合に、情シス部にアラートメールを発出する

2
e:セグメントを分け、仮想PC同士がRDPなどで通信できないように設定する
f:管理者許可リストに業務に必要なサイトのみを登録する

明確に記載方法が書かれていたアカウント関係と、単純にRDP接続を…と書いておけば良かった部分に余計なこと書いたのが痛いです。RDP接続などの通信をと書いているので部分点くれれば助かりますが。
1、3選びましたが、3の方はクエリストリングをクエストリングを確認するとか書いてしまったので、間違っているかも…それを考えるとこちらで確実に6割は取っておきたいところなのですが… 
⚪︎⚪︎⚪︎.comはベンダー拒否リストに載っているから書かなくて良かったのか。そもそも全拒否するのが正解なのか。
どちらにしても間違っているような気がしてうつになっています。

今から何したら試験合格になりますか？お百度参り？😢

(5) 事象前後の△△△.com,◻︎◻︎◻︎.comをブロック(大意)
と書いたんですけど、「〇〇search.com」をブロックしなかった事に触れた解答された方いらっしゃいます？

(4)は問題文の誘導からしてパスワードの変更だと思うけど垢停止系が多くて困惑している、アカウントの禁止系が想定解なら問題文で少しでも誘導しそうだけどどうなん

禁止系っていうか止める系か

PC-Aはパスワード突破が原因で好き勝手されてるわけではないので、パスワード変更は意味がないのでは？

最後の見直しで
（４）アカウントの停止→仮想スイッチから切り離し
的なことに直したけど直さなきゃ良かったっぽいですね…

(4)は無効化系でもパスワード変更系でも正解じゃないか？
対象はPC自体ではなくドメインに存在するアカウント(名指し)だし、
仮想PC自体の利用権限はドメインユーザと紐づいてる+ファイルサーバの接続に認証が必要な旨が記載されているから、
どんな形態の攻撃やマルウェアでも、
今回の条件で活動するにはuser019が必要。
どっちでも要件を満たせる。

あと1(2)のfilesv派とファイルサーバ派も、
答えの根拠として参照すべき図や表が1(3)と異なって明記されてないから、
どう考えてもどっちも正解。

ホスト名を答えろという指示だったとおもったので、filesvにした

一般的に利用される意味のホスト名であればファイルサーバ、
文中の注記で記されていたホスト名であればfilesv。
1(3)と異なり、どこの表現を参照してと書かれていないので、どっちも正解になり得る。
俺もfilesvとしたけど、確実にどっちも正解。

この投稿は投稿者により削除されました。(2024.10.17 11:53)

この投稿は投稿者により削除されました。(2024.10.17 11:53)

この投稿は投稿者により削除されました。(2024.10.17 11:53)

この投稿は投稿者により削除されました。(2024.10.17 12:28)

この投稿は投稿者により削除されました。(2024.10.17 12:28)

この投稿は投稿者により削除されました。(2024.10.17 12:29)

(6)、マルウェアの挙動的に最初に△△△.comに通信してるので、それさえ見ればいいと安直に考えてしまったのですが、部分点もらえないかな......

【暫定回答案  (1/3)】 ※番号のズレがあったため削除後連投...申し訳ないです
同掲示板の皆様の答案や問題文を熟読した上で、
暫定的な解答候補を作成させていただきました。
これまでのIPAの午後問題の公式回答の論理を配慮したため、
8.5～9割は公式回答と差異が無いレベルに仕上がってるはずです。
itecやTAC等の解答速報がでるまでの暫定案として、鼻ほじりながら見てください。
(私は当日の回答と2-3問差異がある部分が有りキレながらもこの案を作りました。)

>>設問1<<
>>1 PC-C
  ※｢図4  C社の解析結果｣から感染拡大(i.ps1の実行)を行うのは、RDP接続時と判る。
    ｢図3｣の追加調査の部分で｢表3から、PC-Aから[a]にマルウェア感染が拡大している可能性が～｣
    と記載されていることから、｢表3｣の12/04 23:32:51にPC-AからのRDP接続が成功している、
    PC-Cが唯一感染の可能性が有るホストとなる。

>>2 filesv
  ※｢表1｣のファイルサーバの仕様部分で｢ホスト名はfilesvである｣と記載がある。
    ホスト名は一般的に利用される単語であり、構成図上の｢〇〇サーバ｣等も示す事があることから、
    ｢ファイルサーバ｣も別解/部分点となる可能性。

>>3 ad01¥user019
  ※administratorはドメインサーバ上に登録されたアカウントではない為×
    このことから1=filesv / 2=PC-C / 3=administratorの線が消える

>>4 パスワード変更/アカウント無効化
  ※ファイル送信時に用いるプロキシはドメインサーバ上のアカウントによる認証が必要
    このことから今回の感染被害ではad01¥user019のパスワードが漏洩している事が判る
    よって、パスワード変更による攻撃者からのログイン遮断/若しくはアカウント無効化で対応可能
    また、｢図4｣のq.ps1の動作の(g)から、パスワードをPCのメモリ上から窃取し利用する旨が記載されている事から、
    やはり同挙動によってパスワードを窃取して横展開等を働いたと考えられる。
    ＝パスワード変更が最も有力な回答。アカウント無効化は同じ要件を満たせる。

>>5 プロキシサービスのURLフィルタリング機能の管理者拒否リストに、https://△△△.com/を追加する
  ※同時点でファイル送信で用いられた痕跡の有るhttps://△△△.com/のみ暫定対策として追加。
    ｢図4  C社の解析結果｣からアップロードに用いられるURLは△△△のみである事が判る。
    〇〇〇や□□□はコネクトバック通信用でここで封じるのは蛇足(〇〇〇はベンダー拒否リストと重複)。
    なおURLのパス部の指定の必要性については触れられていない以上、｢https://△△△.com/v/upl｣と
    示すべきか否かは不明瞭なため、どちらも正解になると考えられる。

【暫定回答案  (2/3)】
>>6 いずれかのL社内ホストから、https://〇〇〇.com/、https://△△△.com/、https://□□□.comのうち、
>>  いずれかのURLを宛先とする通信ログが存在しているかを調査する
  ※下線②の前文にあり同設問の前提条件となっている｢プロキシサービスのログ｣で判るのは、
    ｢表5｣より日時･利用者ID･宛先･宛先ポート番号･フィルタアクション･送受信量と判る。
    ここからマルウェアに感染したホストを炙り出す為には、今回マルウェア感染と関連する、
    https://〇〇〇･△△△･□□□.com/の3つのURLのいずれかを宛先とする通信の存在を調査する必要がある。
    なお、〇〇〇については｢表5｣の12/06 01:32:04では許可･12/06 02:34:03では拒否となっていることから、
    12/06 01:32:04～02:34:03の間にベンダー拒否リストに追加されたと見られるため、
    それ以前の〇〇〇に対する通信をしっかり炙り出す必要がある。
    ＝ベンダー拒否リストに入ってて検知されているはずだから〇〇〇は除外してOKの論理は同設問ではNG

>>7 全てのL社内ホストでタスク名をinstallとするタスクが登録されていないか調査する
  ※追加調査1･2では見逃した可能性のある感染済みホストを炙り出すための追加調査について問われている。
    追加調査1ではPC-Cに関して各種ログを用いた調査･追加調査2ではプロキシサービスのログから、
    https://〇〇〇･△△△･□□□.com/に対する通信履歴を確認している(1(6)の回答)が、
    他端末からRDP接続を受けてi.ps1が実行され、タスクにq.ps1を実行する｢install｣が登録された状態で、
    何らかの理由でタスクがまだ実行されていないホストが、
    ｢プロキシサービスのログでは引っかからないが今後活動する可能性が有るホスト｣と言える。
    よって、各ホストのタスクにinstallが登録されているか調査するか、
    i.ps1の実行履歴を確認する事で同ホストを炙り出せるが、
    PowerShellの実行履歴を取れる旨の記載はどこにもないために、タスクの調査が正解となる。
    Fツールの利用に関しては、Fツールで登録されているタスクを確認できる旨の記載が無い事から、
    蛇足となる(飛躍した解答として減点される可能性あり)。
    なお、同設問の下線③後に｢調査には時間がかかるので～｣と記載されていることから、
    各ホスト上で地道に登録済みタスクを確認する手法が部分的に裏付けられている
    (何らかの機器やツールで一括で調査する手法でない事が判る)

>>8 ・L社内の各ホスト上で新たなタスクが登録された事を検出する仕組み
>>  ・L社内の各ホスト上/マルウェア対策サービスの管理用Webページからマルウェア対策ソフトが停止した事を検出する仕組み
>>  ・L社内の特定のホストから他のホストに対しRDP接続が施行されたことを検出する仕組み
>>  上記のうちいずれか2つ
 ※図4で示されたマルウェア活動を自動的に検出する新たな仕組みを答える問題。
   ｢自動的に～｣｢仕組みを作る｣とある事から、運用管理的な手法でなく、
   システム的な対処である事がくみ取れる(Fツールの内製からも軽微なシステムなら内製出来る事が暗喩)。
   図4で示されたマルウェア活動の要約は以下の通り。
     ・1 (i.ps1) タスク名を｢install｣とするタスクを登録
     ・2 (i.ps1) 登録後に同タスクを実行
     ・3 (q.ps1) マルウェア対策ソフトを停止
     ・4 (q.ps1) 各種ファイルをRAR形式で圧縮しhttps://△△△.com/v/uplにアップ
     ・5 (q.ps1) 1時間おきに〇〇〇/□□□にコネクトバック通信
     ・6 (q.ps1) パスワードをPCのメモリから窃取
     ・7 (q.ps1) pingでホストを探索しRDP接続を試行
   このうち、4/5はすでにプロキシ機能で対策済み。
   2/6は正常なタスク実行･メモリリードとの判別がアプリ層レベルでは困難
   (OSのロギング機能が不明瞭な以上タスク名を一意の識別子として判別できるかは問題文からは読み取れない)
   残る1/3/7を検出する仕組みが回答となる。
   3-4行程度しか解答欄が無かったことや｢具体的に～｣の指示が無いことから、
   具体的な各仕組みの実現手法(〇〇サーバの〇〇機器を～等)までは求められてない事が判るが、
   字を詰めてそれらの手法を書いても問題ないと思われる。

【暫定回答案  (3/3)】
>>設問2<<
>>e 仮想PCのホスト間でのRDP接続を禁じる
  ※今回マルウェア感染拡大に用いられた経路が仮想ホスト間のRDP接続。
    別途保守用PCも存在し、一般利用者のホスト間でRDP接続できる必要はない事から、
    これを防ぐ技術的対策が回答となる。
    なお、PC-Cに接続するために用いられたadministrator自体については、
    PC-Cのローカル上に存在するアカウントであり、感染拡大の原因の大本ではない。
    (大元のRDPを防ぎそもそも接続試行させないのが大前提)

>>f ・例1 各仮想PCにDLP製品を導入しマルウェアによる不審なファイルの持出しを検出し遮断する
>>  ･例2 通信経路上にインラインでIPSを設置しアウトバウンド方向の不審なファイルのアップロードを検出し遮断する
>>  ・例3 プロキシサービスを多要素認証やパスキー認証を用いたより堅牢な物に移行し出口対策を行う
  ※q.ps1によるファイルの持出しの流れは下記の通り。
    通信経路は仮想PC→仮想スイッチ→FW→インターネット→プロキシサービス→インターネット(スイッチは省略)。
      ・1 ローカル･ファイルサーバのファイルをRAR圧縮
      ・2 プロキシサービスへ接続
      ・3 https://△△△.com/v/uplへアップロード
    ファイル持出しを技術的に防ぐ方法としては、
    ホスト側での監視/経路上での遮断のどちらかのアプローチとなる。
    ただし通信経路上の既存機器やサービス(仮想スイッチ･FW･プロキシサービス)で、
    ファイル持出しを検出する機能に関する記載はない(プロキシは複合機能を持つがURLフィルタ機能だけ)
    このことから、ホストor経路上でファイル持出しを検出するソリューションの導入が答えとなる知識型の設問と判る。
    出口対策として汎用的に用いられるプロキシ認証は導入済みだが今回は効果が無かった上に、
    多要素認証等が出来る旨も記載されていない為、現行のプロキシサービスを活用した対策は不可能。

設問1の4はtacやitecの解答速報だと“無効化”になっているが、パスワードの変更だと✕になるのかな。

設問1(7)はinstallタスクの登録有無を調査するのが正解っぽいですが、
i.ps1の作成有無を調査するのがダメなのはなんででしょうか。
タスク登録よりも前にi.ps1が作成されるのかと思ったのですが、
PC-Aからの感染先ではi.ps1は作成されないということなんでしょうか。

Metaさん
その回答でも正答として成り立ちますよね。また他にも正答があるように思います。
私も受験者なので予想でしかありませんが、試験全体を通して今回の問題は正答が複数あると思います。出題者もそれを想定していて、正解不正解を決めつけるよりもセキュリティ的に考えられてるかという観点での採点なんだろうと。だから字数制限も撤廃したのではないでしょうか？採点者には高いスキルが求められるでしょうね。
IPAも意味ない資格とか言われるのを打破するために試行錯誤ですね。

ゆーぽさん
> PowerShellの実行履歴を取れる旨の記載はどこにもないために
とのことですが
表2「ファイルの生成、参照、更新、削除及び実行のログ」がとれるという表現に
PowerShellを含めないのはどのように解釈されましたか？

>>束の間の休息様
コメントいただきありがとうございます。
PowerShell内部で実行されたコマンドの詳細･履歴･ファイルプロパティは、
外部でロギングするのではなく｢PowerShell自体でログ設定を有効化｣する必要が有ります
(通常設定ではPowerShellのファイルや内容までは特定できません=デフォではexeまで)

具体的にはトランスクリプトログ(ps1ファイル自体にコードとして埋込)や、
Windows設定からPowerShellモジュールログを有効にして追跡する必要が有ります。
この特性は｢PowerShell 実行履歴 イベントログ｣等で検索いただくと詳細に解説されております。

これらに関する記載は1箇所も存在せず、
問題文の指摘いただいた箇所だけではps1のログを取れる根拠にはなりません。

なお、ps1については表6で実行ポリシに関して触れられている事から、
その時点で対処している

※途中で送信してしまいました。続きです。

なお、ps1については表6で実行ポリシに関して触れられている事から、
その時点で対処している事も暗喩されており、メタ的な推理ではありますが、
｢同じ論点を2回書かせる｣事は少なくとも過去15回で1-2問程度しかなかったです。

まあですが、私よりも遥かに優れた方々が総出で作り上げた
TAC/itecの公式解答を暫定の拠り所とするのが安全かと思います。
(私は半年詰め込んだだけの若輩者ですので...)

※また、私が投稿させていただいた解答予測では一部誤りがありました。
  申し訳ございませんでした。
  →"Fツールでタスク登録自体の収集は出来ない"は誤りで
    "Fツールではタスクの登録自体の収集が可能"

なお最新バージョンのPowerShellではロギング機能を｢スクリプトブロックログ｣や｢イベントプロバイダーの登録｣といった手順を踏む事で有効にする旨が公式リファレンスでは示されています。

まあ最終的には公式のみぞ知るので祈るしかないですね。
ここで理屈練りまわした所でもう解答は決まっているはずなので...

ゆーぽさん
ご返信ありがとうございます。
トランスクリプトログについて言及がない=取っていない
となってしまいますでしょうか？

当方は、以下のように考えました。
図2でインシデントに必要なログ取得を機能概要に載せていて、
表2の出力ファイルの表現でログを取得となっている。
→素直に「Fツールはフォレンジックツールの基礎的な機能を満たしてるならログ取れるんだな」
となりました。
さらにそれを裏付けるものとして、表3にFツールで出力したtime.csvの抜粋がありますが
「12/04 22:33:12 i.ps1が実行された」とあり、
・Fツールは何らかの方法でPowerShellのスクリプトを取得できる機能がある。
・方法論はともかく表3の内容は取得できる機能がある。

というように考えましたがいかがでしょうか？

>> 束の間の休息様

おわ！確かに、time.csvに出力されていますね。
完全に見逃していました(極大大恥)
であれば、Fツールの収集機能自体でps1の実行を特定する機能が備わっている物だと読み取れますので、ps1の実行履歴を探る事でもホストを炙れそうですね。
誠に失礼いたしました....大恥......大恥................

ファイルサーバって書いちまった

ファイルサーバ(filesv)
と書いた。
(3)の聞き方が、Windowsでローカルにログオンするアレか。
じゃあこれは？ と妙に勘ぐっちゃって、そうとしか書けなかった。