設問1 12
(1) 3
エ
(2) 5
検体αの内容
-
回答理由
時間の経過によりプログラムコードが変わって実際の挙動と差異が出るともった
-
正答との差
私の回答でも正答だったと思うが、
実際のケースではC&CサーバのIPアドレスを変更することがあるらしい
そうすると、マルウェアはC&Cサーバと通信ができないので、動作することができない
(3) 4
解析環境が仮想マシンかどうかの違い
-
回答理由
回答自体に間違いはなかった
-
正答との差
設問では、違いについて問われているので対比していることがわかりやすい内容であれば完璧だったと思われる
今回の例では、「仮想マシンではなく実機環境」というように回答する
設問2
a エ
b ア
c イ
d ウ
-
回答理由
流れが理解できなかったのであてずっぽうで回答した
-
正答との差
図3及び図4の内容を理解できればできたと思われる
まず、Dシステムで攻撃者に攻撃してもらった取得できた検体をD-PCで解析するという全体の流れを理解する必要があった
そうであれば、問われていることは、DシステムからD-PCへ安全に検体を転送する方法について回答すればいいということがわかった
そもそも、最初の概要とネットワーク図から何をするためのネットワークかわからなければ理解は難しかったと思われる
設問3 12
(1) 3
e:1
(2) 3
f ウ
g イ
h ア
i イ
-
回答理由
標的pcにxpcのmacアドレス、x-pcに標的pcのmacアドレスが設定されることにより通信が逆にいくと思った
-
正答との差
まずARPの仕組みがわかっていなかった
端末が知りたいMACアドレスのIPを持つものがだれかを同じレイヤ2スイッチに属する端末全てにブロードキャストを行いmacを持つ端末がipを返答するというフローを理解する必要があった
次に、標的pcがdns及びxpcに対してmacに対応するipを問合せそれを応答してもらうという問題に沿った具体的な理解が必要だった
そうすれば、
(3) 6
j ア
k イ
l ウ
m イ
n イ
o ウ
-
回答理由
理解できていなかった
-
正答との差
ARPスプーフィングの流れがわかれば理解できた
ARPスプーフィングに成功後、
問合せ:標的PC → XPC → DNS
応答:DNS → XPC → 標的PC
になることが理解できていれば簡単だった
攻撃者のXPCが二者間の通信の間に入ることで通信の内容を傍受できる
設問4 24
(1) 6
パスワードとソルトを連結した値に対してのハッシュ関数の実行回数
(2) 9
利用者IDに対してログイン失敗が5回連続した場合10分間ロックする機能
(3) 3
エ
(4) 6
Adminの後に数字5桁が続く文字列
設問5 7
(1)
デフォルトのARPテーブルと内容に差異がある状態
-
回答理由
ひねり出して回答した
-
正答との差
間違いではないかもしれないが問題には沿っていなかった
ARPスプーフィングの設問が理解できていれば答えられたかもしれない
IPアドレスとMACアドレスは一対一で対応していなければならないので、
IPアドレスが1、MACアドレスが2だとおかしいことを理解する必要があった
(2) 7
デバッグログに認証情報を出力しないこと。