1. nihonmatsu

    No comment

    nihonmatsu
Changes in title
-平成30年度秋期試験 午後Ⅱ
+平成30年度秋期試験 午後1(解答予想)
Changes in body
Source | HTML | Preview
@@ -1,58 +1,127 @@
-問1
+**問1**
-設問1
+**設問1**
本文中の`a`に入れる適切な字句を答えよ。
-答え
-MAIL
+> 答え
+MAIL FROM
-設問2
+**設問2**
(1)表1中の`b`~`i`に入れる適切な内容を、"〇"又は"×"のいずれかで答えよ。
-答え
+> 答え
b.〇 c.×
d.× e.×
f.× g.〇
h.× i.×
(2)図4中の`j`に入れる適切な字句を答えよ。
-答え
+> 答え
x1.y1.z1.1
(3)SPFに対応している別のメールサーバがEnvelope-FROMを変えずにメールをそのまま転送する場合は、メール受信側のメールサーバにおいて、SPF認証が失敗してしまう、SPF認証が失敗する理由を、SPF認証の仕組みを踏まえて、50字以内で具体的に述べよ。
-答え
+> 答え
メール送信側のDNSサーバが持つドメイン名とEnvelope-FROMのドメイン名が異なるためIPアドレスで検証できない。
(4)受信した公開鍵、並びに署名対象としたメール本文及びメールヘッダを基に生成したハッシュ値を用いて、DKIM-Signatureヘッダに付与されているディジタル署名を検証することによってメールの送信元の正当性以外に確認できる事項を、20字以内で述べよ。
-答え
+> 答え
メールが改ざんされていないこと。
-設問3
+**設問3**
図7中の`k`,`l`,表3中の`m`,`n`に入れる適切な字句を答えよ。
![スクリーンショット 2019-10-22 0.26.25.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/45915/d788af0e-7728-6d50-2310-13415366d0e5.png)
![スクリーンショット 2019-10-22 0.30.52.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/45915/5c0d3f09-51ee-149c-bf32-6bb226cd9214.png)
-答え
+> 答え
k. mail.x-sha.co.jp
l. x2.y2.z2.2
m. quarantine
n. r
-設問4
+**設問4**
攻撃者がどのようにN社の取引先になりすましてN社にメール送信すると、N社がSPF,DKIM及びDMARCでは防ぐことができなくなるのか。その方法を50字以内で具体的に述べよ。
+> 答え
攻撃者が正当なドメインを取得して、DNSサーバとメールサーバをSPFとDKIMに対応した場合。
-問2
+**問2**
-設問1
+**設問1**
+
+(1) 当該通信はZ社のネットワーク環境によって遮断されていた理由を20字以内で述べよ。ここで、図1で示したZ社内の機器及び攻撃グループXのC&Cサーバは正常に稼働していたものとする。
+![スクリーンショット 2019-10-22 14.00.59.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/45915/226a09b1-7e8d-9686-dbba-3efe3df99633.png)
+
+> 答え
+FWのフィルタリングルールで遮断したから
+
+(2)図3中の`a`に入れる適切な機器を表2中の(a)〜(g)から一つ選び、記号で答えよ。
+
+> 答え
+C 
+(a)PCのEDRはDNSプロトコルによる通信は記録しない設定。
+(b)FWはDNSプロトコルは許可しているため、動作ログは残らない。
+(c)外部DNSサーバへDNSクエリを送るプロキシーサーバは、アクセスログとして残る。  
+
+(3)図3中の下線`②情報落ち出し成功時に残る痕跡`について、情報持ち出しが成功した可能性が高いとZ社が判断可能な痕跡は何か。該当する痕跡を二つ挙げ、それぞれ30字以内で述べよ。
+
+> 答え
+・プロキシサーバのアクセスログからC&Cサーバへの通信記録
+ HTTPはFWのフィルタールールでアクセス不可、よってプロキシサーバを経由する方法しかない。
+・プロキシサーバのアクセスログからDNSサービスLへの通信記録
+ DNSプロトコルの場合はEDRに記録が残らない、よってプロキシサーバのアクセスログが頼りか。
+
+(4)図3中の下線`③調査で判明した情報`について、ISACに伝えるべき情報のうち、他者がEDRなどセキュリティ対策ソフトウェア又はセキュリティ機器を用いて感染端末を検出する際に有効であり、共有すべき情報を解答群の中から二つ選び、記号で答えよ。
+
+> 答え
+オ マルウェアPのファイル名 EDRなどを用いて感染端末を検出する際に有効な情報
+キ マルウェアRのファイル名 EDRなどを用いて感染端末を検出する際に有効な情報 
+
+ア 感染日時は自社の情報であり、他者が感染端末を検出する際に有効な情報ではない。
+イ グローバルIPアドレスMは感染源であり、感染端末を検出する際に有効な情報ではない。
+ウ フォルダNのパス名は、個人のフォルダ情報であり、他者が感染端末を検出する際に有効な情報ではない。
+エ プライベートIPアドレスは、自社のネットワーク情報であり、他者が感染端末を検出する際に有効な情報ではない。
+カ プライベートIPアドレスは、自社のネットワーク情報であり、他者が感染端末を検出する際に有効な情報ではない。
+
+**設問2**
+(1)Z社の業務で利用しているソフトウェアの実行ファイル(以下、正規実行ファイルという)には、ソフトウェア開発会社がディジタル署名を付与するか、自社で付与することができる。図4中の下線`④ディジタル署名を検証すれば、正規実行ファイルか否かを判定できる。`について、ソフトウェアのディジタル署名の検証に利用する証明書を解答群の中から選び、記号で答えよ。
+
+> 答え
+エ コードサイニング証明書 オンラインで配布するソフトやプログラムにコード署名をすることにより、ソフトウェアの開発元・配布元を明確に表示し、コンテンツの完全性を証明することができる。
+
+ア S/MIME証明書 メールの暗号化とメールへ電子署名を行う電子証明書
+イ TLSクライアント証明書 サーバ側にクライアント証明書のルート証明書及び中間証明書を用意しておき、信頼できるクライアントを証明することができる。
+ウ TLSサーバ証明書  クライアント側にサーバ証明書のルート証明書及び中間証明書を用意しておき、信頼できるサーバを証明することができる。
+
+(2)表3中の下線⑤について、プロキシ認証情報の窃取に使用できない攻撃手法を解答群の中から選び、記号で答えよ。
+
+> 答え
+ウ ゴールデンチケットの窃取 アクティブディレクトリーのチケットの権限内容を管理者権限へ書き換える、発行したチケットは再度内容の確認をしないアクティブディレクトリーの脆弱性をついた攻撃。
+
+(3)表3中の下線`⑥FWフィルタリングルールを変更する`について、表1のフィルタリングルールを一つ変更することによって対応した。変更すべきフィルタリングルールを項番で答えよ。また、変更後のフィルタリングルールについて、送信元、宛先、サービス、動作を答えよ。
+
+> 答え
+項番 3
+送信元 全て
+宛先 内部DNSサーバ、外部DNSサーバ
+サービス DNS
+動作 許可
+
+(4)表3中の`b`〜`d`に入れる適切な字句をそれぞれ10字以内で答えよ。
+b DNSサーバ
+c プロキシサーバ
+d 再帰問い合わせ
+
+(5)表3中の`e`に入れる適切な特徴を30字以内で述べよ
+
+> 答え
+プロキシサーバの再帰問い合わせが繰り返し発生