情報処理技術者試験

情報処理安全確保支援士 平成30年度 秋 午後Ⅰ 問2 解説

※自分なりにざっくり解説していきます(公式解説ではありません)。記載事項には誤りが無いよう万全を期しますが、万が一誤りを見つけた場合はご指摘いただけると幸いです

この設問は「社内のどこかにワームに感染した機器があるっぽいので探してください~」というような流れになっています。ぱっと見難しくても落ち着けば解ける問題も多いかと思います。

公式解答

まずはIPA公式解答をご覧ください!

設問1

aウ bス cセ dエ eコ

設問2

(1)SYN+ACK

(2)(a)パケットがNSMセンサの監視対象外であるため

(b)同一IPアドレスへのスキャン回数は少ないから

設問3

(1)PC101,PC133,PC277,PC301,PC321,PC340

(2)イ,オ,カ

設問4

(1)①・セキュリティ修正プログラムが適用されていること

②・マルウェア定義ファイルが更新されていること

・PCがマルウェアに感染していないこと

(2)VLANを使い,PC間の通信を禁止する。

設問1解説

知識を問う設問になっています。(a)今回の環境では全二重1Gbpsの通信ということで、受信と送信でそれぞれ1Gbpsの通信ができるのでミラーポートに流れる通信量は最大2Gbpsです。(b)IEEE 802.1QといえばタグVLANですね、ネットワークに流れるデータに名札(タグ)をぺたっと貼って「君はVLAN 10のデータだからね~」という感じでVLANを実現します。L2SWが物理的に分かれていてもVLANを実現できる方法です。(d)ブロードキャストと書いてあるのでなんとなくARPかなあとあたりをつけます。図3(a)に「感染したPCと同一セグメント」に感染を試みると表記があるのでその条件も満たしていますね。

設問2解説

(1)ワームがコネクション確立の要求をして、それに応答して「SYN+ACK」を返してしまうと狙われてしまうという感じでしょうか。

(2)(a)NSMセンサが10.100.130.0/24のセグメント内には無いからということだと思います。(b)図3の最後の方に「IPアドレスの最後までスキャンしたら終了するよ~」とあるので、各IPごとに1回ずつしかパケットを送らないということです。そのためアドレス別件数にはほぼ影響ないよってことですね。

設問3解説

(1)APの通信ログ(表1)の通信が怪しいぞってことで確定していいみたいです。(もしかしたら「正規の通信」が混ざってるかもと警戒してしまいましたが…)それぞれの通信が発生した直前に送信元IPをリースされていた機器を表2より探しました。

例えば14:25:02 にIP:192.168.0.32から送信されている通信について確認してみます(表1の1番上)。この通信が発生した瞬間にIP:192.168.0.32がリースされたいる機器を探せばいいわけですから、表2より14:25:02以前で最後にIP:192.168.0.32が割り当てられている機器が怪しいという流れになります。この場合は14:24:50にPC321にIP:192.168.0.32がリースされていますね。8つの通信ログについてすべて確認すると以下のようになります。

日時14:25:02 IP:192.168.0.32 → PC321
日時14:26:45 IP:192.168.0.8   → PC101
日時14:27:18 IP:192.168.0.44 → PC277
日時16:51:50 IP:192.168.0.12 → PC101
日時17:31:22 IP:192.168.0.44 → PC133
日時17:31:23 IP:192.168.0.32 → PC340
日時17:31:25 IP:192.168.0.12 → PC101
日時17:31:25 IP:192.168.0.8  → PC301

したがって、感染の疑いがあるのはPC101,PC133,PC277,PC301,PC321,PC340となります。ちなみに、リース期間は1時間との表記がありますが、基本的に端末を継続して利用している場合はIPアドレスは変わりません(通信が途中でぶっつり切れちゃいますしね)。ざっと調べたところリース期間が終わる前に端末から「同じIPを使いたいよ~」と申請があるらしいです。

(2)上記の問でしっかり解答できている場合はすぐに答えが出ます。複数のPCで使いまわされているIPアドレスは192.168.0.8、192.168.0.32、192.168.0.44の3種類ですね。

設問4解説

(1)自分が会社のセキュリティの責任者で、有事の際には自分の首が飛ぶと想像して解答するのがオススメです。そうすると「ちゃんとセキュリティ修正プログラム適用しているかなあ…」と不安になってくるかと思います。(笑)

(2)確かにVLANで区切れば異なるVLANに所属するPC同士の通信は遮断できますが、業務に支障が出ないのかなあと思いました。ここら辺は理解が浅いと思うので後で調べておきます。もし詳しい人がいたら教えていただけるとありがたいです。業務に支障が出ない範囲で(ex.部署ごと)なるべく細かく区切ろうねってことなのかな…。

これにて解説は以上です!必要に応じて追記していくつもりです。

最後まで読んでいただきありがとうございました~!