情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「マルウェアによる初期調査・探索活動で実行されるコマンドとその目的」を取り上げた「情報処理安全確保支援士試験 令和元年度 秋期 午後1問3設問2」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 令和元年度 秋期 午後1 問3 設問2

問3　標的型攻撃への対応に関する次の記述を読んで、設問1〜3に答えよ。

 （略） 

【セキュリティインシデントの検知と対応】

　PサービスとRシステムを導入して数週間が経過した20XX年10月8日、C&Cサーバへの通信を検知したという通知をPサービスから受け、Gさんは図2の手順に従って対応した。Gさんによるインシデント対応の記録を表2に示す。

 

　Gさんは、ここまでの対応を報告書にまとめて、E部長に提出した。

【出典：情報処理安全確保支援士試験 令和元年度 秋期 午後1問3】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm1_qs.pdf

表3中の（a）〜（d）に入れる適切なものを解答群の中から選び、記号で答えよ。

解答群

　ア　L-PCからその時点で接続可能な端末の一覧を取得する。（d）

　イ　L-PC内で悪用できる脆弱性を確認するために、OSのバージョンや脆弱性修正プログラムの適用状況を確認する。（b）

　ウ　L-PCのIPアドレス、MACアドレスなどネットワークアダプタの詳細な情報を取得する。（a）

　エ　L-PCの秘密情報を含んだファイルを暗号化する。

　オ　実行中のプロセス一覧を取得し、マルウェアの解析環境でないか確認する。（c）

　表3中のコマンドはwindowsのコマンドです。

　（a）の「ipconfig /all」は、IP通信に関する詳細なネットワーク設定を表示するもので、具体的には、ネットワークアダプタごとのIPアドレス、MACアドレス、サブネットマスク、デフォルトゲートウェイなどが表示されます。

　（b）の「systeminfo」は、コンピュータの構成や設定情報を表示するもので、具体的には、OSのバージョン、プロセッサ、メモリ、BIOSのバージョン、ネットワークカード、OSの脆弱性修正プログラムの適用状況（ホットフィックス）などが表示されます。この情報を基に、L-PC内で悪用できる脆弱性を確認します。

　（c）の「tasklist」は、実行中のプロセスを表示するもので、具体的には、プロセス名、プロセスID、メモリ使用量などが表示されます。この情報を基に、L-PCがマルウェアの解析環境でないかを確認します。

　（d）の「net view」は、ネットワーク設定で共有設定になっているコンピュータやリソースの一覧が表示されます。この情報を基に、L-PCから接続可能な端末を確認します。