以下は、令和元年度 秋期 SC 午後Ⅰ「問2」設問2(対策の検討)の狙い→考え方→根拠→最終答案の順での詳解です。最後に字面そのままの公式解も添えます。
(1) 署名検証に使う証明書は?
狙い
「正規“実行ファイル”かどうか」を署名で見極めるなら、どの証明書かを問う基礎。図4の方針は「ディジタル署名が付与されていない実行ファイルからの通信をEDRで遮断」→「④署名を検証すれば正規実行ファイルか否かを判定できる」でした。
考え方
-
実行ファイルに使うのはコードサイニング証明書。
-
S/MIME=メール、TLSサーバ/クライアント=通信路の認証でありバイナリ自体の署名用途ではない。
答案:エ(コードサイニング証明書)。
(2) プロキシ認証情報の窃取“に使えない”攻撃は?
狙い
表3の「⑤プロキシ認証情報の窃取」への現実的手口の識別。選択肢はオートコンプリート窃取、キーロガー、偽認証フォーム、総当たり、ゴールデンチケット、盗聴など。
考え方
-
プロキシは BASIC 認証。ID/PW を奪う系は適合(オートコンプリート窃取/キーロガー/偽フォーム/盗聴/総当たり)。
-
ゴールデンチケットはKerberosのTGT偽造で、BASICのID/PW窃取とは目的も経路も別。
答案:ウ(ゴールデンチケットの窃取)。
(3) FWルールを1つだけ変えてDNS経路のC&Cを止める
狙い
DNS経由C&Cの“構造”をFWで折る設計感覚。ポイントは外向きDNSをDMZに集約すること。
考え方
-
既設の表1には 「項番3:全て→インターネット:DNS 許可」 があり、ここが外向きDNSの抜け道。ルールは項番の小さい順で最初一致が適用なので、この一本をDMZ限定に置き換えれば、PC等からの直外DNSが潰れる(=パブリックDNS L 経由のC&Cが困難)。
-
DNS型C&Cの前提(パブリックDNS経由)とも整合。
答案:
-
変更すべき項番:3
-
変更後ルール:送信元 DMZ/宛先 インターネット/サービス DNS/動作 許可(= “全て→” を DMZ→ に限定)。
(4) 表3の空欄 b, c, d を10字以内で
狙い
DNS経由C&Cの流れ(権威・フルリゾルバ・再帰問い合わせ)を言葉で正確に。表3の説明は「攻撃者が攻撃用ドメインを用意→マルウェアが(c)へ(d)を送る→(c)がC&Cサーバに…」という筋。
考え方
-
攻撃者側は攻撃用ドメインの権威DNSをC&C側に用意。
-
マルウェアはフルサービスリゾルバ(ここでは“外部DNSサーバ”やパブリックDNS)へ再帰的クエリを投げる。外部DNSが権威に辿り着いて解決。外部DNS=フルリゾルバであることは本文注記にも明記。
答案:b:権威DNSサーバ/c:外部DNSサーバ/d:再帰的クエリ。
(5) 大量持ち出し時の特徴 e(30字以内)
狙い
DNSトンネリングの“振る舞い”IOCの代表例。表3の記述は「長いホスト名」「特定ドメインへのクエリ急増」など。
考え方
データを分割しラベルにエンコードするため、特定ドメイン宛の問合せが多数発生する。
答案:e:特定のドメインに対する多数のDNSクエリの発生。
公式の該当肢(確認)
-
(1) エ/(2) ウ/(3) 項番3 → DMZ, インターネット, DNS, 許可/(4) b 権威DNSサーバ・c 外部DNSサーバ・d 再帰的クエリ/(5) e 特定のドメインに対する多数のDNSクエリの発生。
ひと口メモ
-
(3)は**「全て→インターネット:DNS 許可」を“DMZ限定”に置換する一手で、結果的にPC等の直外向きDNSを抑止**できます(他の外向きDNSは既存の下位ルールや既定拒否で落ちる前提)。
-
(4)のc=外部DNSは“フルサービスリゾルバ”の働きを指しており、本文の注記と用語が一致します。
