平成24年秋 情報セキュリティスペシャリスト試験(SC) 午後Ⅰ 問3 解説
問3
設問1
a ウ(Y社のメールサーバのアドレスが、Y社のアドレスではなく、かつ、DNS参照が"unknown"になっている点)
b ア(Y社が国内で運用しているはずのメールサーバのタイムゾーンが、日本ではなく、海外になっている点)
※(CET)は中央ヨーロッパ時間である。Y社のサーバ設定が間違って海外になっているだけかもしれないので、bに該当するのがアになる。
イ(Y社とZ社で中継サーバを経由した記録がなく、中間経路で隠蔽する改ざんが行われている点)
→Y社⇔Z社間で中継サーバが入らないのは異常ではない。
エ(Z社のメールサーバのローカルアドレスではなく、Z社のグローバルアドレスが参照されており、NAT変換が無視されている点)
→Z社のメールサーバのグローバルアドレスは「z.y.x.1」だが、
メールヘッダでは「□□.△△.○○.▽▽」(ローカルアドレス?)となっている。
設問2
(1) c オ、d イ
「RCPT TO」のRCPTは、RECIPIENT(受信者)の略。「receive(レシーブ)」や「reception(レセプション)」と同じ語源。
(2) z.y.x.1
グローバルIPは、FWでNAT(プライベートIPアドレスをグローバルIPアドレスに変換)によってY社のメールサーバと接続する。
Y社のメールサーバはこのアドレスとDNSのTXTレコードを照合するため、グローバルIPの「z.y.x.1」が正しい。
設問3
(1) メール中の社外サイトのリンクを辿った
(2)
システムの名称:ネットワークモニタ
設置場所:社内LAN上
監視すべき事象:トラフィックの急激な増加
IDSやIPSでも正解か?
(3) FWはPRXとMX1からだけインターネット通信を許可している。
(4) 通信先が信用できるかをシグネチャで判断するWebフィルタをPRXに導入する。
シグネチャ型:不正アクセスの攻撃パターンをデータベース化しておき、その不正アクセスパターンとの比較によって正常なアクセスかを判断する。