平成30年春期午後問1
広告
AP勉強中さん
(No.1)
https://www.ap-siken.com/kakomon/30_haru/pm01.html
設問2について、模範解答のうち2つは確認した内容についての記述であり方法については書かれていないように思いました。
それらについてどのような方法で確認したのか、模範解答では「最新のウイルス定義ファイルで」とありましたが、その方法について疑問があります。
私は感染したモバイルPCが社内LANに接続した時に他のPCに感染してしまうのではと考え「社内LANのログにPCやサーバへの不審な通信がないか確認する」と書いてしまいました。恐らく間違いだと思うのですが、マルウェア感染の仕組みがいまいちよく分からずなぜ間違いなのか自分では説明できません。どなたか教えていただけないでしょうか。
設問2について、模範解答のうち2つは確認した内容についての記述であり方法については書かれていないように思いました。
それらについてどのような方法で確認したのか、模範解答では「最新のウイルス定義ファイルで」とありましたが、その方法について疑問があります。
私は感染したモバイルPCが社内LANに接続した時に他のPCに感染してしまうのではと考え「社内LANのログにPCやサーバへの不審な通信がないか確認する」と書いてしまいました。恐らく間違いだと思うのですが、マルウェア感染の仕組みがいまいちよく分からずなぜ間違いなのか自分では説明できません。どなたか教えていただけないでしょうか。
2022.02.20 18:44
GinSanaさん
★AP プラチナマイスター
(No.2)
今回のランサムウェアはドライブバイダウンロード(利用者のウェブサイトへのアクセスをきっかけに、秘密裏に不正なプログラムをダウンロード、インストールする攻撃手法のこと)ってやつでダウンロードされてきたわけですけど、
たしかにWannaCryみたいにネットワーク経由で感染を広げるやつもいるから、LANから切り離そうねって事後策で言われるわけなんですが、
ログ監視っていっても社内LANでSyslogやWindowsイベントログとかしか一般には使わないですけど、仮にそれで異常な通信がわかるとして(ファイル転送ごときでそれが判別できるとはそれほど思えない)、それを人力で見るのはつらいですよ。無駄足を運ばされた気分はログ漁りで強くなります。
それをやるくらいだったら、拡張子の特徴とかファイル名(※)とかそういうのでやるか・・・ってなるんですけどね。
ログ通信で言われるのはファイアウォールとかプロキシのC2サーバに向けた通信のドロップとかは聞きますけどね。
※これも本当はよくなくて、ハッシュ値で比較する。名前はどうとでもなるから。ポリモーフィック型マルウェアみたいに、少し変えてハッシュ値での検出を回避するやつもいるので、結局は「そのハッシュ値のやつは少なくともいなかった」くらいしか厳密にいうことはできない。ウイルスソフトで振る舞いで検知するのもいるけど。
たしかにWannaCryみたいにネットワーク経由で感染を広げるやつもいるから、LANから切り離そうねって事後策で言われるわけなんですが、
ログ監視っていっても社内LANでSyslogやWindowsイベントログとかしか一般には使わないですけど、仮にそれで異常な通信がわかるとして(ファイル転送ごときでそれが判別できるとはそれほど思えない)、それを人力で見るのはつらいですよ。無駄足を運ばされた気分はログ漁りで強くなります。
それをやるくらいだったら、拡張子の特徴とかファイル名(※)とかそういうのでやるか・・・ってなるんですけどね。
ログ通信で言われるのはファイアウォールとかプロキシのC2サーバに向けた通信のドロップとかは聞きますけどね。
※これも本当はよくなくて、ハッシュ値で比較する。名前はどうとでもなるから。ポリモーフィック型マルウェアみたいに、少し変えてハッシュ値での検出を回避するやつもいるので、結局は「そのハッシュ値のやつは少なくともいなかった」くらいしか厳密にいうことはできない。ウイルスソフトで振る舞いで検知するのもいるけど。
2022.02.21 12:46
AP勉強中さん
(No.3)
GinSanaさま
ご返信ありがとうございます!
とても分かりやすいご説明で理解できました。
ありがとうございます!
ご返信ありがとうございます!
とても分かりやすいご説明で理解できました。
ありがとうございます!
2022.02.21 14:34
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。