セキュリティスペシャリスト
問題はIPAからご確認ください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/2021r03.html#aki_sc
答えはIPAの回答例となります。
概要
設問1
表3のrunプロセスを確認するとプロセスIDは「200」とあり、表4でプロセスID「200」を確認すると
宛先はa3.b3.c3.d3なので
答え:a3.b3.c3.d3
設問2
(1)
表3のるんプロセスの親プロセスを確認すると、親プロセスはTソフトの物となりますので
答え:runプロセスの親プロセスがTソフトのプロセスであるから
(2)
bの時刻は表5を見ると攻撃者がアクセスしている時刻が解ります
答え b:13:04:32
cの時刻は予約サーバからの通信となり、表5でLDAPでクエリを送ってるので表6でLDAPで通信している時間を見ると
答え c:13:05:50
d・e・fは図2の攻撃例の1と表5の内容を合わせます
答え d:a8.b8.c8.d8
答え e:LDAP
答え f:JExp
設問3
(1)
概要を見るとログインしていなくても、ログ出力文字列の中に特定の攻撃文字列が含まれていれば攻撃可能ですので
答え:ログ出力処理する文字列中に攻撃文字列が含まれれば悪用可能だから
(2)
※③は設問3(1)を参照
今回、攻撃されて予約サーバからアクセスしている表6のログの宛先はグローバルIPなのでインターネット側になります。
表2のルールを見ると項番2で予約サーバからインターネットへはALL 許可となっているので、LDAPも出ていけてますが、送信元が会員サーバからのルールはありません。
なので、攻撃はされていたけどFWで止められていたようです
答え:会員サーバからインターネット宛てのLDAP通信が許可されていないから
設問4
gは予約サーバですね
hは概要を見ると予約サーバは秋日程をSNSアカウントを利用して複数のクラウド上のSNS投稿サーバにHTTPSで投稿しているとなっているので
iはその他すべて拒否したいので
答え g:予約サーバ
答え h:SNS投稿用のサーバ
答え i:全て
コメント