ぴぽろじ

自分と誰かの役に立つといいなと思って書いてる備忘録

平成29年度 春期 情報処理安全確保支援士 午後解答晒し

こんにちは、ピーポーです。

今日は年に2回のお祭り、情報処理技術者試験でしたね!

面倒くさくて負けそうになりながら行ってきましたので解答晒します。

f:id:pipologic:20170416204115j:plain

多分合格点には達してると思いますが…

勘で答えた部分も多いので

間違ってるところあったらご教授いただけると幸いです。

 

ちなみに午後1は問1・問3、午後2は問1選択しました。

選択した問題以外も一応全部解いてみたので答えは全部載せてます。

■■午後1
■問1
●設問1
(1)a.カ b.オ c.エ
⇒AさんのARPテーブルは改ざんする必要ない気がした
(2)5
(3)送信元:ケ 宛先:ウ サービス:キ
●設問2
MITB攻撃
⇒この攻撃今日の午前問題で初めて知った…
●設問3
(1)セグメントが分かれるのでARPが届かないから
(2)SYN:CA  SYN-ACK:A
⇒偽装されてるからSYNはBAかもしれない
 問題の意味がわからんかったけど
 P2でFWがステートフルインスペクションの機能をもっていると書いてあるので
 なんかうまく遮断するのだろう、たぶん

■問2
●設問1
L氏の確認内容:最後にログインした時刻
ログイン記録から解ること:最終ログイン時刻
⇒答えが単純すぎるけど…他にあるかなあ…
●設問2
(1)a.クロスサイトリクエストフォージェリ
⇒カタカナ20文字だし…これしかない
(2)b.3
(3)c.現在のパスワード d.知らない
(4)e.confirm f.submit
⇒WEB開発に詳しくないので文脈から判断
●設問3
(1)ウ
(2)g.セッションハイジャック
(3)h.URLをリンクにしない
⇒設問3はほぼ勘で書いてます
 誰か詳しい人教えてー

■問3
●設問1
接続元IPアドレスがF社のプロキシサーバ以外のもの
●設問2
(1)a.ウ b.エ c.ア d.イ
(2)e.1 f.3
(3)g.ウ
(4)h.IdP i.改ざん
(5)webブラウザがSAMLResponceを中継するから
⇒見たまんまやんけ
●設問3
交通費精算サービス:3
社外から社内ネットワークへの通信はFWによって禁止されているから
⇒P14の記載より
グループウェアサービス:1
接続元IPアドレスが制限されているから
⇒P15の記載より


■■午後2
■問1
●設問1
(1)ウエ
(2)a.FW1 b.L2SW
●設問2
(1)被疑サーバのFQDN
(2)中継サーバ1
(3)中継サーバ1にパケットを中継する
⇒いやプロキシなら普通だろ…
 全く思いつかなかったので適当に答えた
 「特別」ってどういう意味なんだー
●設問3
(1)実行時に所定の引数が与えられなかったときにデバッカ環境であると判断する
⇒実際にそういうマルウェアがあると聞いたことがあるような
(2)パッキングされることで実行ファイルのハッシュ値が変わるのでウイルス定義ファイルの検知対象から外れるから
⇒これはわりと一般的な話だと思う、こういう表現で良いのかは微妙だけど
●設問4
(1)c.プロキシサーバのブラックリスト
(2)d.電源を入れてパッチを最新にする
(3)e.パスワードの変更
●設問5
(1)脆弱性の修正パッチの適用状況が違う
⇒P6より比較対象PCはインシデント対応開始時に作成されているので
(2)f.パッチ配信サーバ
(3)Q社のWEBサイトを閲覧した際の更新プログラムの適用状況が被疑PCと同じ場合
●設問6
(1)被疑PCのHDDの複製は最初にやる
フォレンジックの観点からということなのでP9より
 最初に読んだとき「今更?」と思ったのでそのまま書いた
(2)別途PCを用意して利用者に貸与する
⇒ずっとPC借りっぱなしじゃん
(3)g.開いてるポート番号
⇒パッチの当たり具合を比べるのと悩んだんだけど
 その辺のことはもう設問5で述べているので被るかなと。
 他の事というとポートくらいしか思いつかなかった


■問2
●設問1
(1)a.DKIM
(2)b.ウ d.ア
(3)c.内部メールサーバ
●設問2
(1)e.FW f.C&Cサーバを宛先とするポート80または443の通信
(2)g.外部メールサーバ h.外部に送信されている
⇒答えがそのまますぎて自信なし
(3)外部DNS:内部DNSサーバに対して再帰的問い合わせをしないようにする
  内部DNS:解決できないとき外部DNSに聞きにいかない
⇒じゃあ解決できないときどうするんだろう…GoogleDNSにでも聞くのか
(4)DNSサーバプログラムの起動
⇒我ながら意味不明。しかしP20で他にログとってないんだもん…
●設問3
(1)ファイルを暗号化しないこと
⇒ウイルスチェックができないから
(2)定義ファイルの適用状況を一元管理できること
⇒「調査及び着手の早期化」のためだから管理面の機能かと思いました
●設問4
j.PC-LAN
●設問5
・サーバ間にIPSを設置して通信の検知
・サーバ毎にセグメントを分けることで感染拡大の防止
⇒2個おもいついたけど…どっちでしょう