ホーム > 情報処理安全確保支援士試験 > 2013年 秋期
情報処理安全確保支援士試験 2013年 秋期 午前2 問10
利用者PCがボットに感染しているかどうかをhostsファイルで確認するとき、設定内容が改ざんされていないと判断できるものはどれか。ここで、hostsファイルには設定内容が1行だけ書かれているものとする。
ア:
イ:
ウ:
エ:(正解)
解説
hostsファイルの改ざん確認で感染判定する方法【午前2 解説】
要点まとめ
- 結論:hostsファイルに「127.0.0.1 localhost」の設定があれば改ざんされていないと判断できる。
- 根拠:localhostは利用者PC自身を示し、ループバックアドレス127.0.0.1に正しく紐づくのが正常な設定だから。
- 差がつくポイント:OSやソフト提供元のFQDNを127.0.0.1に割り当てるのは不自然で、ボット感染時の改ざん例として多い点を理解すること。
正解の理由
hostsファイルはドメイン名とIPアドレスの対応を記述し、通常「127.0.0.1 localhost」という設定が必須です。localhostは自分自身のPCを指す名前であり、これが正しく設定されていればhostsファイルの基本的な改ざんはされていないと判断できます。一方、OS提供元やPC製造元、ウイルス定義ファイル提供元のFQDNを127.0.0.1に割り当てるのは不自然で、マルウェアが外部通信を遮断するために改ざんする典型例です。したがって、選択肢エの「127.0.0.1 localhost」が正解です。
よくある誤解
「127.0.0.1に任意のFQDNがあれば正常」と誤解しがちですが、localhost以外の外部提供元ドメインをループバックに設定するのは改ざんの可能性が高いです。
解法ステップ
- hostsファイルの役割を理解する(ドメイン名とIPアドレスの対応付け)。
- 127.0.0.1はループバックアドレスで自分自身を指すことを確認。
- localhostは必ず127.0.0.1に割り当てられている正常設定と覚える。
- OSや製造元など外部提供元のFQDNが127.0.0.1に設定されている場合は改ざんの疑いが強いと判断。
- 問題文の選択肢と照合し、正常な設定を選ぶ。
選択肢別の誤答解説
- ア:「127.0.0.1 a.b.com」はOS提供元のFQDNであり、通常は外部IPを指すため改ざんの疑いがある。
- イ:「127.0.0.1 c.d.com」はPC製造元のFQDNで、これも外部サーバーのためループバックに設定するのは不自然。
- ウ:「127.0.0.1 e.f.com」はウイルス定義ファイル提供元のFQDNで、感染時に通信遮断目的で改ざんされやすい。
- エ:「127.0.0.1 localhost」は利用者PC自身を示す正しい設定であり、改ざんされていない。
補足コラム
hostsファイルはOSの名前解決の初期段階で参照され、DNSサーバーに問い合わせる前に優先的に使われます。マルウェアは外部通信を遮断するためにhostsファイルを改ざんし、特定のドメインを127.0.0.1に向けてアクセス不能にすることがあります。localhostの設定が消えたり変更されたりすると、PCの正常動作に支障が出るため、改ざんの有無を確認する重要なポイントです。
FAQ
Q: なぜlocalhostは必ず127.0.0.1に設定されている必要があるのですか?
A: localhostは自分自身のPCを指す名前で、ループバックアドレス127.0.0.1に対応付けることでネットワーク機能の基本動作を保証します。
A: localhostは自分自身のPCを指す名前で、ループバックアドレス127.0.0.1に対応付けることでネットワーク機能の基本動作を保証します。
Q: hostsファイルの改ざんはどのように検知できますか?
A: 正常な設定と異なるIPアドレス割り当てや、外部提供元のFQDNが127.0.0.1に設定されている場合は改ざんの疑いがあります。
A: 正常な設定と異なるIPアドレス割り当てや、外部提供元のFQDNが127.0.0.1に設定されている場合は改ざんの疑いがあります。
関連キーワード: hostsファイル, ループバックアドレス, localhost, ボット感染, ネットワークセキュリティ, 名前解決, マルウェア対策