(2) 攻撃者がML3の活動を隠蔽するためにログの改ざんを試みた機器はどれか。マルウェアの特徴とJ社のネットワーク環境を基に答えよ。
回答:FW
(2) ~また、本文中の下線①について、どのような内容のログか。25字以内で具体的に述べよ。
公式回答例:PCから攻撃者のサーバへのHTTP通信のログ(22文字)
管理人回答:感染PCから攻撃者のサーバへの拒否された通信ログ(24文字)
解説
この問題の肝は、ML3の通信がFWに拒否されていることに気づけるかどうかです。
「表2 マルウェアの解析結果の概要」から読み取れるのは
ML3はプロキシサーバを利用せず、直接攻撃者のサーバに通信を試みます。
「図1 J社のネットワーク構成」から読み取れるのは
その通信は、FWを経由してインターネットに抜けようとします。
「表1 FWのフィルタリングルール」から読み取れるのは
FWのフィルタリングルールには、送信先「PC」、宛先「インターネット」のルールがないため項番10で通信が拒否されます。
問題文から、ここまで気づく事ができれば、攻撃者が改ざんしようとしたログはFWだと分かります。
後は作文の時間です。
管理人の作文過程は以下の通り。
- ML3に感染したPCから攻撃者のサーバへのFWが拒否したHTTP通信ログ(36文字)
- 感染PCから攻撃者のサーバへのFWが拒否したHTTP通信ログ(30文字)
- 感染PCから攻撃者のサーバへの拒否された通信ログ(24文字)
「拒否」をどうしても残したくて「HTTP」を削ってしまったのは失敗だった気がします。
どうにか作文のフィーリングをIPA公式回答に近づけたいですね。
最終更新:2013年07月29日 23:16
