레이와 원년도 가을 시험 오후 1 (예상 답안)

질문 1

질문 1
송신차 메일 주소에는 SMTPa 명령으로 지정된 프로그램의 송신과 메일 드레스(이하 Envelope-FROM), 메일 데이터 내의 메일 헤더에 지정된 송신차 메일 주소(이하 Header-FROM)가 있다.
본문a의 적절한 자구에 대답하다.
답안
MAIL FROM
질문 2

U 센터장은 SPF에 대한 대응과 각 공격 효과에 대한 관계를 표 1에 취합하고 SPF가 대책이 되는지 Q부장에게 같은 표로 설명한다.

(1) 표1의 b~i 중 적당한 내용을'0'또는 '×중 임의로 대답하다.
답안
b.×　c.×
d.×　e.×
f.×　g.〇
h.×　i.×
※ b. 공격자가 SPF와 대응하지 않는 고객의 이메일 주소로 위장했을 때, SPF에 대응하지 않아 튕겨 나왔지만, 사칭된 메일 주소로 판단할 수 없습니다.
SPF에 대응하려면 그림 4와 같이 DNS 서버에 TXT 레코드를 등록하십시오.

(2) 응답도 4의 j 중 적당한 글귀.
답안
x1.y1.z1.1
(3) SPF에 대응하는 다른 메일 서버가 Envelope-FROOM을 바꾸지 않고 메일을 직접 전송하는 경우 SPF 인증의 구조에 따라 메일 수신측의 메일 서버에서 SPF 인증 실패, SPF 인증 실패의 이유를 구체적으로 서술한다.
답안
메일 발송 측의 DNS 서버는 Envelope-FROOM 도메인과 다르기 때문에 IP 주소로 검증할 수 없습니다.IPA　答え
送信側のDNSサーバに設定されたIPアドレスとSMTP接続元のIPアドレスが一致しないから(4) 수신된 공개 키와 서명 대상인 메일의 본문과 메일 헤더에 의해 생성된 해시 값을 사용하여 DKIM-signature 헤더에 부여된 디지털 서명을 검증함으로써 20자 이내에 메일 발송원의 합법성 이외의 사항을 확인할 수 있다.
답안
우편물은 변조되지 않았다.IPA答え　メール本文及びメールヘッダの改ざんの有無질문 3
그림7에 적힌 k,l, 표3에 적힌 m,n에 적힌 글귀를 대답했다.


답안
k. mail.x-sha.co.jp
l. x2.y2.z2.2
m. quarantine
n. rIPA　答え
k. mail.x-sha.co.jp
l. x2.y2.z2.1
m. quarantine
n. r질문
공격자가 어떻게 N개 고객을 사칭하여 N개 회사에 메일을 보내는지 N개 SPF, DKIM 및 DMARC는 방지할 수 없나요.그 방법을 50자 이내로 구체적으로 서술해 주십시오.
답안
공격자가 정당한 도메인을 취득하여 DNS 서버와 메일 서버를 SPF와 DKIM에 대응할 때.IPA答え N社の取引先と似たメールアドレスから送信ドメイン認証技術を利用してメールを送信する질문 2

질문 1
(1)プロキシーサーバ　PCからインターネットにアクセスするためには利用者IDとパスワードによるBASIC認証を必須.C&C通信には、HTTPの場合、プロキシサーバ経由でC&Cサーバと通信.맬웨어 P는 20자 이내로 이유를 설명합니다汎用検索サービスA及びグローバルIPアドレスMへのHTTPによる通信を試みたが、当該通信はZ社のネットワーク環境によって遮断されていた.여기에 그림1에서 보듯이 Z회사 내의 기계와 공격조 X의 C&C 서버가 정상적으로 작동한다고 가정한다.

답안
FW 필터에 의해 차단되었기 때문에IPA答え プロキシ認証に失敗したから
(2) 표2의 (a)~(g)에서 그림3에 놓인 a에 적합한 장치를 선택하고 기호로 대답한다.
답안
c
(a) PC의 EDR는 DNS 프로토콜 기반 통신을 기록하지 않도록 설정됩니다.
(b) FW 라이센스 DNS 프로토콜로 작업 로그를 남기지 않습니다.
(c) DNS 쿼리를 외부 DNS 서버에 보내는 프록시 서버는 액세스 로그로 유지됩니다.　IPA答え b 　
FW는 동작 로그를 얻기 위해
(3) 그림3의 밑줄②情報持ち出し成功時に残る痕跡에 대해 Z회사는 정보가 성공할 가능성이 높은 흔적이 무엇인지 판단할 수 있다.상응하는 두 개의 흔적을 들어 각각 30자 이내로 서술하다.
답안
• 프록시 접근 로그에서 C&C 서버로의 통신 기록
HTTP는 N사 환경에서 FW 필터 규칙 때문에 액세스할 수 없으므로 프록시 서버를 통해서만 액세스할 수 있습니다.
• 프록시 액세스 로그에서 DNS 서비스 L로의 통신 기록
N개 회사의 환경에서 DNS 프로토콜의 경우 EDR에 기록을 남기지 않기 때문에 프록시 서버의 접근 로그가 믿을 만합니까?IPA 答え
・グローバルIPアドレスMへのHTTP通信成功のログ
・パブリックDNSサービスLへのDNS通信成功のログ(4) 그림3의 밑줄③調査で判明した情報에 대해 ISAC에 전달해야 할 정보 중 다른 사람이 EDR 등 안전대책 소프트웨어나 안전장치 검측 감염 단말기를 사용하는 것이 효과적이므로 해답팀에서 공유해야 할 두 가지 정보를 선택하여 기호로 대답한다.
답안
Omaruware P의 파일 이름 EDR 등을 사용하여 감염 터미널을 감지할 때 유효한 정보
KEMARR의 파일 이름 EDR 등을 사용하여 감염 터미널을 감지할 때 유효한 정보
　
감염 시간은 자기 회사의 정보이지 다른 사람이 감염 단말기를 검사할 때 효과적인 정보가 아니다.
글로벌 IP 주소 M은 감염원이지 감염 단말기를 감지할 때 유효한 정보가 아니다.
u 폴더 N의 경로 이름은 개인의 폴더 정보이며 다른 사람이 감염 단말기를 검사할 때 유효한 정보가 아니다.
개인 IP 주소는 자기 회사의 인터넷 정보로 다른 사람이 감염 단말기를 검사할 때 유효한 정보가 아니다.
카드 사유 IP 주소는 본사의 인터넷 정보로 다른 사람이 감염 단말기를 검출할 때 유효한 정보가 아니다.IPA答え イ、ウ질문 2
(1) 소프트웨어 개발사는 Z사의 업무에 사용되는 소프트웨어의 실행 파일(이하 정규 실행 파일이라고 함)에 디지털 서명을 수여하거나 본사에서 수여할 수 있다.그림 4의 밑줄④ディジタル署名を検証すれば、正規実行ファイルか否かを判定できる。에 대해 해답 그룹에서 소프트웨어의 디지털 서명을 검증하는 인증서를 선택하고 기호로 대답한다.
답안
온라인으로 배포된 소프트웨어나 프로그램에 대한 코드 서명을 통해 소프트웨어의 개발 소스/소스 소스를 명확하게 표시하고 내용의 완전성을 증명할 수 있다.
AS/MIME 인증서 메시지 암호화 및 전자 인증서
TLS 클라이언트 인증서 서버 측에서 클라이언트 인증서의 루트 인증서와 중간 인증서를 준비하여 신뢰할 수 있는 클라이언트를 증명할 수 있습니다.
WTLS 서버 인증서 클라이언트 측에서 서버 인증서의 루트 인증서와 중간 인증서를 준비하여 신뢰할 수 있는 서버를 증명할 수 있습니다.
(2) 표3의 밑줄 ⑤에 대해 해답팀에서 대리인증정보를 훔치는 데 사용할 수 없는 공격방법을 선택하여 기호로 대답한다.
답안
황금표 절취(이벤트 목록의 티켓 권한 내용을 관리자 권한으로 전송, 발행한 티켓이 확인되지 않은 이벤트 목록의 취약성을 다시 공격)
(3) 악성 소프트웨어는 공용 DNS 서비스를 이용하여 C&C 통신을 한다.DNS 프로토콜의 경우 공용 DNS 서비스 L을 통해 통신합니다.공공 DNS 서비스는 인터넷상에서 누구나 자유롭게 이용할 수 있는 전 서비스 해석기형 DNS 서비스를 공개한다.외부 DNS 서버는 DNS 조회를 받아 인터넷의 권위 있는 DNS 서버와 통신하여 명칭을 해결하는 전 서비스 해석기로 역할을 발휘한다.
표 3의 밑줄⑥FWフィルタリングルールを変更する을 통해 C&C 통신을 차단합니다.에서 테이블 1의 필터 규칙을 수정하여 대응합니다.변경해야 할 필터 규칙에 항목수로 대답하세요.또한 변경된 필터 규칙과 관련해 발송원, 목적지, 서비스, 동작에 대해 답변한다.
답안
제3항
소스 모두 보내기
대상 내부 DNS 서버, 외부 DNS 서버
서비스 DNS
동작 허가IPA 答え
項番　３
送信元　DMZ
宛先　インターネット
サービス　DNS
動作　許可(4) 외부 DNS 서버는 인터넷의 권위 있는 DNS 서버와 통신하여 명칭 해결을 하는 전 서비스 해석기로서 기능을 발휘한다.DNS 프로토콜의 경우 C&C 통신은 공용 DNS 서비스 L을 통해 통신한다.공공 DNS 서비스는 인터넷상에서 누구나 자유롭게 이용할 수 있는 전 서비스 해석기형 DNS 서비스를 공개한다.표3의 b~d에서 적당한 자구는 각각 10자 이내로 대답한다.
bDNS 서버
프록시 서버
차례로 문의하다.IPA答え
b　権威DNSサーバ
c　外部DNSサーバ
d　再帰クエリ(5) 공격자는 특정한 영역을 미리 확보하고 C&C 서버로 인터넷에서 준비한다.악성 소프트웨어로 C&C 통신을 진행하다.30자 이내 서술표 3중e의 적절한 특징을
답안
프록시 서버의 귀속 질문 중복 발생IPA　答え
特定のドメインに対する多数のDNSクエリの発生