[https://www.youtube.com/watch?v=lX4ZJnpu5tY:embed:cite]

この動画では、令和4年度秋期 情報処理安全確保支援士試験 午後Ⅱ問1「脅威情報調査とCTF（Capture The Flag）」を徹底解説します。ファイルレスマルウェアの解析手法や、ARPスプーフィングによる中間者攻撃の仕組み、さらにはハッシュ化されたパスワードのオフライン攻撃といった、攻撃者の視点に立った実践的なセキュリティ技術を深く学べる良問です。合格に必要な思考プロセスを一緒に確認しましょう。 本問でまず重要となるキーワードはファイルレスマルウェアです。これはディスク上に実行ファイルを作成せず、PowerShellなどのOS標準ツールを悪用してメモリ上だけで不正コードを実行する攻撃手法であり、再起動によって痕跡が消えるため解析にはメモリの状態保存が不可欠となります。また、攻撃者は追跡を逃れるためにC&CサーバのIPアドレスを頻繁に変更するため、解析環境のネットワーク遮断や状態保存のタイミングが問われました。さらに、検体の中には自身が仮想マシン上で動作していることを検知して挙動を変えるものも存在するため、サンドボックスなどの仮想環境ではなく実機（物理マシン）を用いた解析環境の構築が必要となる点も重要な学習ポイントです。解析後のファイル転送においては、感染拡大を防ぐためにネットワークセグメントを厳格に分離し、検疫PCを経由させて安全を確認してからファイルシェアサーバへ転送するという運用設計の理解も求められます。 次に、CTFのシナリオで取り上げられたARPスプーフィングも見逃せません。これは攻撃者が偽のARP応答をブロードキャストすることで、標的端末のARPテーブルを汚染し、攻撃者のMACアドレスを正規のゲートウェイやサーバのものとして誤認させる攻撃です。これによりパケットの盗聴や改ざんが可能となる中間者攻撃が成立しますが、対策としてスイッチのDAI（Dynamic ARP Inspection）機能や、同一のMACアドレスが複数のIPアドレスに対応していないかARPテーブルを監視することが有効であると学びます。 最後に、パスワードクラッキングに関する知識も深めます。本問では、認証情報のハッシュ値がデバッグログに残存していた脆弱性が突かれました。ここで重要なのが、ソルトとストレッチングです。ソルトはハッシュ化の際にランダムな文字列を付与してレインボーテーブル攻撃を無効化する技術であり、ストレッチングはハッシュ化を数千回以上繰り返すことで計算時間を稼ぎ、総当たり攻撃を遅らせる技術です。しかし、本問のようなオフライン攻撃では、サーバ側の「5回失敗でロックアウト」といったアカウントロック機能は無意味となります。攻撃者がハッシュ値を入手して手元の環境で解析を行うため、パスワードの規則性が推測可能であれば短時間で解読されてしまうリスクがあることを理解し、デバッグログに認証情報を出力しないという根本的な対策の重要性を認識することが合格への鍵となります。