ホーム > 情報処理安全確保支援士試験 > 2023年 春期
情報処理安全確保支援士試験 2023年 春期 午前2 問13
マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきものはどれか。
ア:調査対象のPCで動的に追加されたルーティングテーブル(正解)
イ:調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
ウ:調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
エ:調査対象のPCのシステムログファイル
解説
マルウェア感染調査における証拠保全の優先順位【午前2 解説】
要点まとめ
- 結論:電源を切る前に最優先で保全すべきは「動的に追加されたルーティングテーブル」である。
- 根拠:ルーティングテーブルは揮発性メモリ上にあり、電源断で消失するため、即座に取得が必要。
- 差がつくポイント:揮発性情報と不揮発性情報の違いを理解し、消失リスクの高い情報から保全することが重要。
正解の理由
調査対象PCの電源を切る前に保全すべき情報は、揮発性の情報であり、電源断により消失するものです。
動的に追加されたルーティングテーブルはRAM上に存在し、電源を切ると消えてしまいます。
ARPキャッシュと同様にネットワーク通信の痕跡を示す重要な証拠であり、マルウェアの通信経路解析に不可欠です。
一方、HDD上のファイルやサーバのログ、システムログは不揮発性であり、電源断後も残るため優先度は低いです。
動的に追加されたルーティングテーブルはRAM上に存在し、電源を切ると消えてしまいます。
ARPキャッシュと同様にネットワーク通信の痕跡を示す重要な証拠であり、マルウェアの通信経路解析に不可欠です。
一方、HDD上のファイルやサーバのログ、システムログは不揮発性であり、電源断後も残るため優先度は低いです。
よくある誤解
HDD内のファイルやサーバログが重要な証拠と考え、電源断前に急いで取得しようとするが、揮発性情報の消失リスクを見落としがちです。
解法ステップ
- マルウェア調査で重要な証拠の種類を理解する(揮発性 vs 不揮発性)。
- 電源断で消失する情報を特定する(例:RAM上の情報、動的ルーティングテーブル)。
- ARPキャッシュ取得後、揮発性情報の中で最も重要なものを選ぶ。
- 不揮発性情報は電源断後でも取得可能なので優先度を下げる。
- 選択肢を比較し、揮発性かつマルウェア解析に有用な情報を選択する。
選択肢別の誤答解説
- ア: 動的に追加されたルーティングテーブルは揮発性であり、電源断前に必ず保全すべき正解。
- イ: HDD内のテキストファイルは不揮発性で電源断後も残るため、優先度は低い。
- ウ: VPNサーバのログはPC外の情報であり、PCの電源断とは無関係。
- エ: システムログファイルも不揮発性であり、電源断後に取得可能なので優先度は低い。
補足コラム
動的ルーティングテーブルはネットワーク経路の変更履歴やマルウェアの通信経路を示す重要な証拠です。
揮発性情報の保全はフォレンジック調査の基本であり、電源断前の迅速な取得が求められます。
また、ARPキャッシュも同様に揮発性であり、ネットワーク上の通信相手を特定する際に役立ちます。
揮発性情報の保全はフォレンジック調査の基本であり、電源断前の迅速な取得が求められます。
また、ARPキャッシュも同様に揮発性であり、ネットワーク上の通信相手を特定する際に役立ちます。
FAQ
Q: なぜHDD内のファイルは電源断後も残るのですか?
A: HDDは不揮発性記憶装置であり、電源が切れてもデータが消えないためです。
A: HDDは不揮発性記憶装置であり、電源が切れてもデータが消えないためです。
Q: ルーティングテーブルはどのように取得しますか?
A: OSのコマンド(例:Windowsの
A: OSのコマンド(例:Windowsの
route print、Linuxのnetstat -r)で取得可能です。Q: VPNサーバのログは調査に役立ちますか?
A: はい、役立ちますがPCの電源断とは直接関係なく、別途取得が必要です。
A: はい、役立ちますがPCの電源断とは直接関係なく、別途取得が必要です。
関連キーワード: マルウェア調査, 証拠保全, 揮発性情報, ルーティングテーブル, フォレンジック