ホーム > 情報処理安全確保支援士試験 > 2025年 春期
情報処理安全確保支援士試験 2025年 春期 午前2 問15
マルウェア感染の調査対象の PC に対して、電源を切る前に全ての証拠保全を行いたい。ARP キャッシュを取得した後に保全すべき情報のうち、最も優先して保全すべきものはどれか。
ア:調査対象のPCで動的に追加されたルーティングテーブル(正解)
イ:調査対象の PC に増設されたHDD にある個人情報を格納したテキストファイル
ウ:調査対象の PC の VPN 接続情報を記録しているVPNサーバ内のログ
エ:調査対象のPCのシステムログファイル
解説
マルウェア感染の調査対象PCにおける証拠保全の優先順位【午前2 解説】
要点まとめ
- 結論:ARPキャッシュ取得後、最も優先すべきは動的に追加されたルーティングテーブルの保全です。
- 根拠:ルーティングテーブルはマルウェアの通信経路や不正なネットワーク設定の痕跡を示し、感染経路特定に不可欠です。
- 差がつくポイント:単なるファイルやログよりも、ネットワークの動的設定情報を優先的に保全することが調査の鍵となります。
正解の理由
選択肢アの「調査対象のPCで動的に追加されたルーティングテーブル」は、マルウェアが通信経路を変更したり、外部と不正に通信するために設定した可能性が高い情報です。これらは電源を切ると消失するため、ARPキャッシュ取得後すぐに保全しなければ証拠が失われます。
一方、他の選択肢は電源を切っても消えにくい情報や外部にあるログであり、優先度は低くなります。
一方、他の選択肢は電源を切っても消えにくい情報や外部にあるログであり、優先度は低くなります。
よくある誤解
「個人情報ファイルやシステムログが最優先」と考えがちですが、これらは電源オフ後も残るため、動的なネットワーク情報の保全が先決です。
VPNサーバのログは調査対象PC外の情報であり、即時保全の対象ではありません。
VPNサーバのログは調査対象PC外の情報であり、即時保全の対象ではありません。
解法ステップ
- マルウェア感染調査では揮発性情報の保全が最優先と理解する。
- ARPキャッシュ取得後、次に揮発性のネットワーク設定情報を保全する必要があると判断。
- ルーティングテーブルは動的に変更されるため、電源断で消失する重要証拠と認識。
- ファイルやログは後回しにし、揮発性情報の保全を優先する。
- 選択肢の中で揮発性かつネットワーク関連の情報を選ぶ。
選択肢別の誤答解説
- ア: 調査対象のPCで動的に追加されたルーティングテーブル
→ 正解。揮発性かつマルウェアの通信経路特定に重要。 - イ: 調査対象のPCに増設されたHDDの個人情報ファイル
→ 電源切断後も残るため優先度は低い。証拠としては重要だが、揮発性情報の後。 - ウ: VPNサーバ内のログ
→ 調査対象PC外の情報であり、即時保全の対象外。 - エ: 調査対象PCのシステムログファイル
→ 電源切断後も残るため優先度は低い。揮発性情報の保全後に取得すべき。
補足コラム
マルウェア感染調査では、揮発性メモリ情報(RAM内容、ネットワーク設定、プロセス情報など)が最も重要な証拠となります。これらは電源断で消失するため、迅速な取得が求められます。ARPキャッシュやルーティングテーブルはネットワーク通信の痕跡を示し、感染経路や通信先の特定に役立ちます。
また、外部ログやファイルは後からでも取得可能なため、優先順位は低くなります。
また、外部ログやファイルは後からでも取得可能なため、優先順位は低くなります。
FAQ
Q: なぜルーティングテーブルは電源切断前に保全すべきですか?
A: ルーティングテーブルは揮発性メモリ上にあり、電源断で消失するため、通信経路の証拠を失わないために優先保全が必要です。
A: ルーティングテーブルは揮発性メモリ上にあり、電源断で消失するため、通信経路の証拠を失わないために優先保全が必要です。
Q: ARPキャッシュ取得後に他に保全すべき情報はありますか?
A: はい、プロセス情報やメモリダンプなど他の揮発性情報も重要ですが、問題文ではルーティングテーブルが最優先とされています。
A: はい、プロセス情報やメモリダンプなど他の揮発性情報も重要ですが、問題文ではルーティングテーブルが最優先とされています。
関連キーワード: マルウェア調査, 証拠保全, ルーティングテーブル, 揮発性情報, ネットワークフォレンジック