情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「NAPTとDHCPのログ解析」を取り上げた「情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問3」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問3

問2　セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ。

（略）

（略）

【無線LANセグメントの調査】

　10.100.130.1は、ルータとして動作しているAPに割り当てたIPアドレスであることが分かった。APではNAPTでIPアドレスの変換をしてPCと接続していることから、APに接続しているPCがワームVに感染している可能性があると判断した。これらのPCのIPアドレスはAPのDHCP機能で設定していることから、APの通信ログ及びDHCPサーバ機能のログ（以下、DHCPサーバログという）を調査することにした。

　DHCPサーバ機能では、IPアドレスのリース期間を1時間にしており、プールしているIPアドレス範囲から適宜リースする。APでの通信ログのうち宛先IPアドレスがG社の利用していないIPアドレスであり、かつ、宛先ポートが445/TCPのものを表1に示す。表2に10月28日のAPのDHCPサーバログを示す。M君は、表1と表2を基に、445/TCPのポートをスキャンしているPCを特定した。

【出典：情報処理安全確保支援士試験 平成30年度 秋期 午後1問2（一部、加工あり）】

APの通信ログとDHCPサーバログを調査して、ワームVに感染したと判断すべきPCを全て答えよ。：PC101,PC133,PC277,PC301,PC321,PC340

　表1（APの通信ログ）から分かることを整理しましょう。

　NAPT変換前IPアドレスに登場するのは4個で、それぞれ宛先IPアドレスを変えて445/TCPのポートスキャンを行った時間帯は以下の通りです。

• 192.168.0.8：10/28 14:26:45 - 17:31:25
• 192.168.0.12：10/28 16:51:50 - 17:31:25
• 192.168.0.32：10/28 14:25:02 - 17:31:23
• 192.168.0.44：10/28 14:27:18 - 17:31:22

　注意が必要なのは、表1の省略されている時間帯では、上記の通信が複数発生している可能性があるということです。

　そして、この時間帯にNAPT変換前IPアドレスを使用していたPCを表2（APのDHCPサーバログ）から探します。

　ここで、「DHCPサーバ機能では、IPアドレスのリース期間を1時間に設定」とありますが、PCが接続状態の時はリース期間の1時間を経過してもそのままIPアドレスを継続利用できることに留意します。

　したがって、ポートスキャンが開始された時間帯より遡って、リースされたPCが対象になります。

• 192.168.0.8：PC101,PC301
• 192.168.0.12：PC101
• 192.168.0.32：PC321,PC340
• 192.168.0.44：PC277,PC133

　ここで、PC101は2回登場しますが、これは最初に192.168.0.8でポートスキャンを行った後、割り当てられたIPアドレスを一度リリースして、改めて192.168.0.12でリースされ、再度ポートスキャンを行ったと考えられます。

感染したPCによる通信を調べてみると、DHCPによってIPアドレスが変わったので、感染した複数のPCが同じ送信元IPアドレスを使っている場合がある。感染した複数のPCによって使われた送信元IPアドレスを解答群から全て選べ。：192.168.0.8,192.168.0.32,192.168.0.44

　上記の通り、複数のPCによって使われたIPアドレス3個を回答すれば良さそうです。