設問1
(1) UAがDL2以外の場合には"404 Not Found"を返す。
User-Agent(以下UA)はWebサイトにアクセスするときChromeなのか、FireFoxなのかを通知する情報のことです。
今回UAは標準ブラウザが設定されていましたが、DL2に書き換えられておりDL2を利用し、C&Cサーバと通信を行っていました。
そして、UAを標準ブラウザに変更し、C&Cサーバとの通信を試みるも失敗に終わっているため、C&CサーバはDL2からの通信しか許可していないことが想像できます。
仕組みとしては解答例のようなものになると思いますが、「DL2以外からの通信を拒否する」等の回答でも部分点はもらえていたのかなと思います。
(2) ①JプロキシのURLフィルタ機能
②JプロキシのRHフィルタ機能
HTTP(S)通信は必ずJプロキシを通っているため、Jプロキシで何かしらの機能を利用することが想像できます。(それ以外に○○機能と記載があるところがあんまりない)
表1Jプロキシの項目を確認すると複数の機能が提供されており、この設問だと、通信先URL(http://yy.yy.yy.yy/?v1)を制御できそうなURLフィルタ機能と、UAが書いてあるHTTPリクエストヘッダの文字列検査(DL2)を行うRHフィルタ機能を利用すればC&Cサーバへの通信を制御できそうです。
設問2
a:DLL
DLLについてうまく表現ができないですが、試験では以下リンクの知識があればいいかと思います。
DLLとは
今回だと標準ブラウザでDLLを利用し通常のコードを呼び出す予定でしたが、DLLが横取りされたことにより不正なコードが呼び出されてしまいました。
このような攻撃をDLLインジェクションと呼びます。
設問3
(1) b:ドライブバイ
ドライブバイダウンロード攻撃は、平成29年度秋AP午前問40より「利用者がWebサイトを閲覧したとき,利用者に気付かれないように,利用者のPCに不正プログラムを転送させる。」とあります。
今回、Webサイトのバナー広告に改ざんが行われており、自動的にダウンロードが行われていました。
c:分割
200kBの圧縮データを2kBに、分割して送信した可能性があります。
フラグメントはNGなのか確認しましたが、MTUサイズ以上のパケットを送信するときに利用する言葉そうなので「分割」がよさそうです。(規格によりますが大体1500バイト位)
(2) d,e:H社Webメール、Nコラボ、可搬記憶媒体、P社CRMツール(この内2つ)
「(d)や(c)に格納された情報」とあるため、情報(データ)を格納できるものを探せばよさそうです。
個人的には解答例の中でもNコラボと可搬記憶媒体はわかりやすかったかなと思いました。
設問4
f:見直し
解答例を見れば「なるほど」と思いますが、個人的には中々思いつかないかなーと思っています。
設問5
(1) マルウェアからハードディスク内の情報が透過的に見えてしまうから
表2ハードディスクの暗号化を確認すると、OSからは、ハードディスク内のデータが透過的に見えるとあります。
これをうまく使えば解答例に近い答えが導きだせそうです。
(2) ①AMのマルウェア定義ファイルが初期化状態に戻る。
②セキュリティパッチが適用前の状態に戻る。
ブートイメージを読取り専用領域から復元するにあたり、何が初期化されるのかというとブートイメージ作成後以降に更新されたデータです。特にこの問題ではセキュリティ対策が初期化されるとあるため、表2のモバイルPCの概要を確認するとマルウェア定義ファイルと脆弱性修正プログラムのセキュリティ対策機能がタイミングによっては更新されない状態になります。
(3) 画面などの情報からのデータの窃取
マルウェア対策を万全に行っていたとしても、画面をキャプチャされていたり、キーボード・マウス操作の情報を窃取されてしまう可能性はどうしても残ります。
(4) 項目:3
変更後の案:VDIサーバ及び社内LANからのHTTP及びHTTPS通信によるアクセスだけを許可するように設定する。
図1の1,2についてはログイン回数に関する問題なのであまり関係ありません。この機能は継続して利用していく必要があり変更を行うこともないでしょう。
そうなると項目:3が今回の回答になりますが、現状はモバイルPC利用を前提としたガイドラインになっています。しかし今後はVDIを利用することになるため、クラウドサービスと通信を行うVDIサーバの通信許可をしておく必要があります。
VDI端末が実際の通信を行うわけではないため念のため注意です。