前置き
ざっくりした前置きは前回の記事を見てください。
今回は午後1に関してとなります。
午後に関しては公式解答が出てくるのが合格発表の数日前(12月下旬)なので、気長な待ちになると思います。
追記:午後2の記事も出来ました。
午後1
概要
過去問をやっている感触上、1時間30分あれば3問ともざっくりと解いて、選択した2問をじっくり見返すことも可能だろうと踏んで取り掛かりました。
実際に選んだ問は2と3になります。
また、Twitterでもつぶやきましたが、過去の試験や演習ではほとんどやってこなかった問題用紙への書き込みも今回ふんだんに行いました。
結果的には、見直しも含めるとかなり時間ギリギリになってしまい、終了直前に修正した解答が意図と逆の書き方になってしまって悔しい部分も1か所あったワケですが・・・
問1
最終的には選んでいませんが、ざっくりと問題を読んでささっと書けそうな解答は記入しました。
設問1
(1)DNSキャッシュポイズニング
(2)エ UDP
(3)【未記入】
(4)【未記入】
(5)ルートCA
設問2【未記入】
設問3
(1)【未記入】
(2)【未記入】
設問4
A:ア OSコマンドインジェクション
B:オ クロスサイトリクエストフォージェリ
振り返り
選択していないので、問題を見てパッと思いつかなかった設問は記入していません。
設問1の1と2は合ってると思ってますが、(5)は他の方の解答を見た感じではコードサイニングが正解っぽいです。
3は未記入ですが、問題をじっくり見返すと2つの解答が予想出来ました。
・攻撃者の応答のほうが正規の応答より早くたどり着く
・DNSのポート番号が固定されている
正解はどうなんでしょうかね?
設問4もたぶん合ってると思います。
他はパッと見ではわからない記述系が多かったのでじっくり解答を考えてはいません。
問2
設問1 a:a3.b3.c3.d3
設問2
(1)runプロセスの親プロセスIDがTソフトのBSoftMainプロセスだったため
(2)
b:13:04:32
c:13:05:50
d:a8.b8.c8.d8
e:LDAP
f:JExp
設問3
(1)外部ライブラリを読み込み、標準で有効にしているため
(2)インターネットからFWのフィルタリングルールで通信を許可していないため
設問4
g:予約サーバ
h:SNS投稿用のサーバ
i:全て
振り返り
設問1、2は合ってるんじゃないかなと思います。
fが引っ掛け問題(引っ掛かるとExploitと書いてしまう)ですが、回避出来ました。
設問3の(1)は怪しいです。
ネット上の解答で有力なのは「ログイン認証前でもHTTPリスエストをサーバに送ってログが出力されるから」という意見です。ただ、私が書いたような「ライブラリXは外部ライブラリの読み込みを標準で有効にしているから」という意見もあるっちゃあります。
問われ方の解釈が分かれるところではありますが、私がこの解答を書いた根拠は「脆弱性Yは認証前のアクセスでも悪用できる」点が「標準で外部ライブラリの読み込みが有効」という点と密接かなと思いました。ログイン後のプログラムで外部ライブラリを読み込む機能が変化するのではなく、最初から有効になっているからかな、と。Javaの動作とか知らないので、見当違いなことを言っている可能性もありますが。
「認証前にもログが出るから」という意見も聞いてなるほどと納得はできますけどね(私個人は試験中にこの解答は思い浮かばなかったんですけど)。どうなんでしょ。
設問3の(2)はやらかした問題です。
実は最初「予約サーバと違ってFWのフィルタリングルールで通信を許可していないため」と書いていたのですが、午後問題対策集(下記の書籍です。おすすめ。)で具体的に書くこととかが重要という解説を思い出して、この文章だとフィルタリングルールの何?って部分が曖昧だと気づきました。気づいたのが、試験終了2分前の見直し時で文章を全部書き直すのは無理だと思い、書き出しの文のみ修正しようと躍起になりました。で、消した9文字の書き出しと同じ文字数の「インターネットへの」という分を書こうとして間違えて「インターネットから」って書いてしまいました。
試験終了の合図が言い渡された後、「から」って書いた自分の答案を見て目を丸くする羽目に・・・
これで、数点足りずに午後1落ちたらショックですね・・・
設問4については100%とは言いませんが、たぶん問題ない解答かなと思います。
問3
設問1
(1)a:376
(2)インターネットからprogファイルをダウンロードして実行する命令
(3)b:一時ディレクトリのログ
(4)ゼロデイ攻撃
設問2
(1)index.htmlが見つからなかったため
(2)APIに認証・認可の機能を設定した
設問3
(1)c:a3.b3.c3.d3
(2)d:エ ボットネット
(3)攻撃の指示を出すサーバのIPアドレスが変更された場合
(4)e:オ ソースコードサーバ
振り返り
設問1はおおむねあっていると思いますが、(2)に関しては設問の真意と異なる書き方をしているかもしれません。
設問2の(1)は意図は合っていると思いますが、どんな情報か?って聞かれてるので、404 Not Foundってそのまま書くのが正解だったりして・・・
設問2の(2)は、怪しいです。
「被害の拡大を防止」って考えると過去のパターンは「ネットワークから切り離す」がセオリーですし、「レジストリサーバ上のタグ341から379までのゲームイメージが上書きされた可能性」とあるので、冷静に考え直すとこれが正解の可能性としては過去の出題からも高そうです。
が、解凍中の私の思考はなぜか「ネットワークから切り離すべきなのはゲームサーバ1と2」でレジストリサーバは別の対処が必要ではとなってしまいました。(時間が微妙に押してきて思考が雑になってきていた気がする)
その次に出てきた案は、「汚染されたゲームイメージを正しいもので上書きする」というものでしたが、自己増殖してそうだし被害の拡大を抑えるにもちょっと的外れな気がすると着地しました。
最後に出てきたのが、「APIに認証・認可機能は設定されていない」という文からの解答の内容でした。被害も拡大しないし、他の機能へも影響しづらいしレジストリサーバの概要にわざわざ書いてあるのでこれかな、と思って解答しました。
冷静に見ると切り離しっぽい気もしますが、認証・認可の設定も捨てづらいなぁ。合ってて欲しいが・・・
設問3はたぶん大丈夫ですが、(4)に関してネット上の声だと「REST APIだからイでは?」という意見もあります。自分はREST API詳しくないので分かりませんが、どうなんでしょうね。一応、観測範囲ではオが最も多い解答でした。
点数予想
点数が6割いってるか計算してみます。
今の予想だと、ざっくり以下の正答数になります。
解答欄が分かれていれば記号一つ一つも1個としてカウントしています。
問2
単語記述系:9 予想正答範囲:6~9
文章記述系:3 予想正答範囲:1~2
※ 設問4の下振れをMAXで予想
問3
単語記述系:6 予想正答範囲:5~6
文章記述系:4 予想正答範囲:1~3
各問が50点ずつとして、全解答欄傾斜無しと文章系の配点が高い場合で得点範囲を出してみます。
・傾斜無し
問2:29~45
問3:30~45
・傾斜有り
問2:25~42
記述3点、文章7.5点 (ちょうど50点にゃならんけど)
問3:23~42
記述3点、文章8
メッタメタに下振れすると50点くらいになる可能性も視野に入れなきゃならないかもですね。
問2の設問3の(2)でポカしてなければもっと心に余裕があったんですが・・・
最後に
あとは午後2ですね。
午後2は午後1より出来てる自身はありますが、午後1が通らないことにはどうしようもないので・・・
