前置き
ざっくりした前置きは前々回の午前2の記事を見てください。
また、午後1は以下となります。
今回は午後2に関してとなります。
午後2
概要
午後2も基本戦略は午後1と同じです。
今回は問1が45分くらいでざっくり解けて問2に入りましたが、解答欄を全部埋めれたうえに割かし自身があったので、問2は途中で解答を止めました。(文章記述系が多く、不安になってきた)
残りの時間で問1を何度も往復してました。記号系が多いので、ミスると壊滅すると思ったので。
問1
設問1
(1)エ ファイルレスマルウェア
(2)C&Cサーバのプログラムコード
(3)環境内に仮想マシンを使わない
設問2
a:ア 検疫PCで、PFW変更でOF機器間の通信を許可。解析をOF機器から転送。
b:ウ 検疫PC以外のOF機器をシャットダウン
c:エ OF環境のルータを内部モードに
d:イ 検疫PCで、PFW変更でシェアサーバ間の通信を許可。解析をシェアサーバへ転送。
設問3
(1)e:1
(2)
f:ア 4a 標的PC
g:イ 1b DNSサーバ
h:ウ 25 X-PC
i:ウ 25 X-PC
(3)
j:ア 4a 標的PC
k:ウ 25 X-PC
l:ウ 25 X-PC
m:イ 1b DNSサーバ
n:ウ 25 X-PC
o:ア 4a 標的PC
設問4
(1)ハッシュ化を指定の回数繰り返す処理
(2)ログイン失敗が5回連続した場合に当該利用者IDのログインを10分間ロックする機能
(3)p:エ レインボーテーブル
(4)[Admin数字5桁]の数字がn番目となる文字列
設問5
(1)同じMACアドレスが複数の行に存在する状態
(2)q:デバッグログにH文字列を含む認証情報を載せないこと
振り返り
流石の午後2で解答欄が長い。
設問1は、着眼点は間違ってなさそうです。
設問2は、実は最初のざっくり解答では「エ→ア→ウ→イ」にしていました。
帰ってきたときにじっくり見直すと「OF機器のモードごとの通信制御ルール」の表をちゃんと検証しないと、ここの順番は前提が崩れてくるかもしれないと思い、ファイルシェアサーバへの接続に細心の注意を払うと、「ア→ウ→エ→イ」になるのかなと修正しました。
設問3は、怖かったので何回も見直しました。ARPに明るいわけではないですが、合っているんじゃないでしょうか
設問4は、(4)のみが若干不安です。
意図は合っているハズですが、ここの表現をうまいこと表すのは国語力いるのかなと。
個人的には「n番目」と「5桁」ってのがポイントかなと思いました。
設問5は、(1)が不安です。
自分の解答の根拠としては、問の文の中でMACアドレスが実際に重複したことと、過去にどこかの情報でARPテーブルにMACアドレスの重複を検知する機能があるって見たことがある気がしたという2点から、こちらの解答にしました。
ただ、帰ってきてからARPテーブルについて調べた限り、IPアドレスの重複に関する対策としてのGARPに(たぶん過去の私はこれのことをうっすら覚えていた)ついては見つけましたが、MACアドレスの重複に関する対策の情報はざっと見では見つかりませんでした。(MACアドレスの重複自体について触れる記事はまあまああった)
ARPスプーフィング自体を調べると、対策としてはIPアドレスとMACアドレスの組み合わせ検知機能(DAI:Dynamic ARP Inspection)が紹介されているのを発見しました。
上記の点から、より正答に近そうな対策となると「IPアドレスとMACアドレスの関連付けを検証して正規のARP応答パケットのみを転送」のほうが正解かもしれません。
ちなみに、DAIはDHCPにも対応可能だそうです。
点数予想
点数が6割いってるか計算してみます。
今の予想だと、ざっくり以下の正答数になります。
解答欄が分かれていれば記号一つ一つも1個としてカウントしています。
問1
単語記述系:18 予想正答範囲:15~18
文章記述系:6 予想正答範囲:4~5
選択は1つで100点満点なので、全解答欄傾斜無しと文章系の配点が高い場合で得点範囲を出してみます。
・傾斜無し
問1:79~95
・傾斜有り
問1:72~88
記述2点、文章10.5点 (ちょうど100点にゃならんけど)
午後1と比較すると危なげなく良さそうです。ただ、噂の範疇ではあるのですが、合格率を例年から大きく乖離させないために点数の下駄や逆下駄が存在するとの話もあるので、午後2が簡単だったという巷の声と合わせると、超厳しい採点もありえるかもです。
最後に
とはいえ午後2は全然良さそうな感触なので、午後1の結果次第といったところでしょうか。
合格していることを祈ります。
