応用情報技術者 試験情報＆徹底解説

https://www.ap-siken.com/kakomon/04_aki/pm01.html
令和4年秋期問1（情報セキュリティ）関連の質問です。

>>ICMPエコー要求パケットが連続して送信されているということは、マルウェアインシデントが発生している兆候として見ることができます。

とありますが、今回の問題に関わらずセキュリティインシデントの兆候となるような動作はなにかありますか?

自分はポートスキャンくらいしかわからないので、他に何かありましたら教えていただけますでしょうか。

以上、よろしくお願いします!

セキュリティインシデントの兆候の現象を具体的に挙げろというのは
なかなか難しいです。

しかし、セキュリティインシデントの兆候として共通しているのは、
「明らかに人間の手によるものではなく、機械的に実行されており、
  短時間に数多くの試行とそれによる失敗が発生する」
です。

それをOSやミドルウェアレベルで実施された場合
・ポートスキャン
・ICMP
・ログイン試行
・HTTPへの不正アクセス
など顕在化して、場合によってはログに記録されるというものです。

まとめれば、明らかに人間の手以外による不適切な挙動が発生している場合を
発見することが重要になります。

ご回答ありがとうございます。
「短時間に数多くの試行とそれによる失敗が発生する」という部分で全体像がわかりました!

「HTTPへの不正アクセス」というのはパラメータの何かを変えながらアクセスを試行してくるといった認識でよろしいでしょうか?

NISTの翻訳資料をご紹介いたします。
よかったら読んでみてください。

「マルウエアによるインシデントの防止と対応のためのガイド」
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025349.pdf

>「HTTPへの不正アクセス」というのはパラメータの何かを変えながらアクセスを
>試行してくるといった認識でよろしいでしょうか?
HTTPなので変えることのできるものは「パス」と「変数」です。

これらを色々に変化させ、以下のような攻撃を行います。
・ディレクトリトラバーサル
・SQLインジェクション
・OSコマンドインジェクション

HTTPは成功時のステータスコードは200ですが、このような攻撃が行われている場合、
400番台（ユーザエラー）、500番台（サーバエラー）が大量にアクセスログに
記録されます。

＠pixさん
イメージがわきました。
丁寧なご回答ありがとうございました。

＠momochanさん
試験終了後に読んでいきたいと思います。