令和3年秋「情報処理安全確保支援士試験」午後1問3の振り返りメモになります。
どんなお話?
社内PCがマルウェア感染したお話です。
犯人探しよりも初動対処やFWで恒久対策する問題が出題されました。
どんな問題が出たか?
感染したPCの初動対応は?
ネットワークから切り離します。
村山さんの本に出ていましたが、「ケーブルを外す」と「PCの電源を落とす」を兼ね揃えたうまい言葉です。
感染したPCでまず取得する情報は?
ディスクイメージ。
法的根拠を残すためですが、ディスクまるごと保管すると今後PCが使えなくなってしまうためイメージを保管しておきます。
ネットワークから切り離した感染PCで駆除する方法は?
他PCで最新のマルウェア定義ファイルをダウンロードして媒体(DVD等)に保存し、感染PCに適用します。
アクセスログ調査で送信元が感染PCのもの以外で注意すべきものは?
感染PCが他PCも感染させるものの場合は感染された可能性のあるPC全てが調査対象になります。テストではマルウェアはPCのhostsファイルに登録された機器にログイン試行する動作のため、対象範囲を問われました。
攻撃防止のため重要サーバへのURLフィルタリング設定はどうすればよい?
重要サーバが運用で使うものを「だけ」許可リストに入れて他は拒否る。
テストでは、重要サーバがインターネットに接続するのはマルウェア定義ファイルの更新だけだったので、マルウェア定義ファイルサイトURL「だけ」許可リストに入れることが問われました
感染リスクをへらすため実行ファイルのハッシュ値をチェックする運用にした。ハッシュ値変更が必要なときは?
登録した実行ファイルがバージョンアップした場合。
上記ハッシュチェックでも実行が防げない攻撃は?
実行ファイルの「マクロ」として実行されるマルウェア。