令和4年秋期試験 午後問1(情報セキュリティ)についての投稿を受け付けるスレッドです。

今回出そうなセキュリティ用語教えてください！

サブスクリプションです！

この投稿は投稿者により削除されました。(2022.10.09 16:13)

セキュリティ難しすぎません！？

問1 ア キ ウ
で合ってますか?
アエウと迷いました。。。

問1 ア キ ク
で合ってますか?
の間違いでした

この投稿は投稿者により削除されました。(2022.10.09 16:38)

アケクにしました。
bは、相手先のDNSサーバのtxtレコードに記述された内容をもとに、自社のメールサーバが検証するので、カの社内メールサーバとケのメール中継サーバかで迷いましたが、メールサーバがDMZ内にないと外部のDNSサーバを参照できないのでケにしました。

私もアケクにしました！

選択肢はアケクアウアにした

設問２の選択肢は  ウとアですかね、、

私もアケクです。
「わざわざ中継サーバなんか置いてるなら、これやろ！」という単純思考で選びました

ウとアにしましたが合ってるのか…

設問3の(2)が何を答えたらいいのかわからなくて…
ここが一番自信ない

アカク
ア
 IPアドレス、ポート番号
ウ
ア

って感じで選択しました

ネットワークの遮断とか
接続セグメントの変更とか？

ユッキーさん(No.15) 
ねっとわからの切り離しでは？

一般的なことはいくつか思いつくのですが
設問の意図がそういうのを求めているのかわからなくて何を書くか迷いました

自信は微妙ですが...ご参考までに自分の回答です

設問1
  (1)
    a. ア
    b. ケ
    c. オ(※クのつもりが何故かオにしとん泣)
  (2) ア

設問2
  (1) 稼働しているホストのIPアドレス
  (2) ウ
  (3) ア

設問3
  (1) 連続して他ホストへpingやSYNパケットを送信
  (2) 当該PCをLAN接続から切り離す
  (3) システム部の運用グループへ被害内容を通知

私もしょしんしゃさんと同じくアケクアウアにしました

設問1
（1）アケク
（2）ア
設問2
（1）社内で使用されているIPアドレス
（2）ウ
（3）ア
設問3
（1）多数のアドレスへのICMPエコー要求パケットの送信
（2）感染が疑われるホストをネットワークから切り離す
（3）プロキシサーバの通信ログの確認
P.S. FEを取った後、APより先にSCを取得しましたが、自信があるわけではありません、、、。

ア、ケ、ク
ア
Macアドレス(絶対違う)
ウ(これも多分違う)
ア
EDRにあらかじめ～合致した～
マルウェアが侵入したPCを内部LANから切断
管理サーバに送信されたログ

こんな感じです…やられた

設問3（3）
通信ログの分析結果を確認する
にしたんですけど、微妙ですかね…？

ログの分析及び分析結果の可視化
と書いてしまいました

detecさんと記号は全部一緒です。
記述系もほぼ似たような内容ですが、
設問3の3は管理サーバでの定期的なログ分析みたいな内容にした気がする。

問2は
ホストのサービス情報
的なことを書きました

No.22とほぼ同じ
設問３(1）だけ少しちが
ICMPエコー要求パケットをが連続で送信されている

アケク
ア

そのアドレスが使われているか
ウ
ア

外部と変な通信をしてないか
感染PCを内部ネットから切り離し
管理サーバが可視化した分析を確認

です
選択肢と2(1)と3(2)が自信ない

情報の窃取及び、ccサーバーへの情報の送信
と書きました

設問1
（1）アケク
（2）ア
設問2
（1）要求パケットに応答のあるIPアドレス
（2）ウ
（3）ア
設問3
（1）ICMPエコー要求パケットが送信される事象
（2）ICMPエコー要求パケットを拒否
（3）エージェントから受信したログの分析

かけらも自信ない…

3の（3）は、もつさんので合ってそうですね。
「EDR導入後」という前提条件を見落としていました。orz

設問1
（1）アケク
（2）イ（←直前に“キャッシュサーバの機能が〜となってたのでセッションハイジャックを選択）
設問2
（1）社内ホストのPCのIPアドレス
（2）ウ
（3）ア
設問3
（1）内部ネットワークの探索や情報の窃取が見られる事象
（2）社内LANから遮断する
（3）エージェントから受信したログの解析

「疑われる」の漢字が書けなくて「感染した」って言いきってやった

３の（３）あまり自信ありませんが
EDRでマルウェアXを検知できる(被害発生にただちに気付く)のを前提として、
被害内容はエージェントのイベントのログを分析すれば、
被害PCから窃取された情報が、通信内容から分かる。
早期に明らかにするには、管理サーバでログを受信、分析結果は可視化されているので、
「管理サーバが受信したログを確認する」ぐらいでいいのではと思いました。

設問1
（1）アキク  ←アケクが正解なようです
（2）ア
設問2
（1）稼働中のホストのIPアドレス
（2）ウ
（3）ア
設問3
（1）内部ネットワークの探索や情報の窃取、情報の送信
（2）連続したICMPエコーパケットの禁止
（3）ログの分析と分析結果の可視化

設問３の１と２はたぶん不正解です。
部分点１点もらえないかな～

(1) ア、エ、ク
  (2) ア
2(1) 使用可能なポート番号
  (2) エ
  (3)ウ
3 (1) 連続したホスト情報取得により情報の窃取を行う事象。
  (2)攻撃対象のポート番号を使用不可にする。
  (3) 管理サーバに送信された受信したログ分析。

問題文から解答をひねり出して誤魔化した箇所もありますが、的外れですかね…?

設問1
（1）アカク（bよく分からなかった。。）
（2）ア
設問2
（1）（分からなくて全然違うこと書いてました）
（2）エ
（3）ア
設問3
（1）個人情報や秘密情報をC＆Cサーバへ～～みたいなこと書いてました
（2）ＦＷでICMPエコー要求パケットを遮断する
（3）管理サーバが受診したログの分析結果の可視化（メモ書きが文字数調整しすぎてぐちゃぐちゃになってました）

設問1
（1）アケク
（2）ア
設問2
（1）マルウェアXがアクセス可能なPC
（2）ウ
（3）ア
設問3
（1）ICMPエコー要求パケットの連続した送信
（2）PCを内部ネットワークから切り離す
（3）管理サーバのイベントログを確認

設問2（1）、設問3（3）のやらかし感ｗ

3 (1) 過去に発見されたマルウェアの活動と類似した事象
だとやっぱりダメですよね。
問題文に「(a)から(c)に示した…」とありますし。

aからcに示した～とあるのでこれらに記載されている活動を要約するべきなのかと思いました。(25字以内はかなりハードな気もしますが…)

設問1
（1）アケク
（2）ア
設問2
（1）社内ネットワークの機器の一覧
（2）ウ
（3）ア
設問3
（1）ICMPエコー要求パケットの連続した送信
（2）感染したネットワーク機器の切り離し
（3）セキュリティパッチの適用やログの検査  （本文から切り抜いたが前者は余計だ、、

【設問1】
(1) a:ア b:ケ c:ク    (FW-DMZ  DMZ-社内の許可のみなので、社内メールサーバーではないと判断…ケ)
(2) ア
【設問2】
(1) 社内に接続している機器のIPアドレス一覧  (表現が難しかった）
(2) ウ
(3) ア
【設問3】
(1) 大量のICMPエコー要求パケットを送信する事象  (内部ネットワークの探索を防ぐ の文言からICMPをチョイス)
(2) PCのネットワーク通信機能を無効化する  (EDRエージェントがそこまでやってくれるか不明 自信なし）
(3) エージェントから受信したログの分析  （表現に悩む）

記述問題の表現に悩んだ感じ…部分点どれくらい入るかな…orz

この投稿は投稿者により削除されました。(2022.10.09 21:29)

【設問3】の（３）
流出した情報が何かを押さえる。。みたいな事を書きました。
やっぱり皆さんんように、ログチェックをするが正解ですね。

解答速報が出て確認してるんすけど問3(3)てイベントのログの解析でも丸にしてもらえますかね？
一応エージェントと繋がってるんで(押しつけ

３（１）不審なICMPエコー要求・SYNパケットの送信

って書いたけど、SYNパケットは余計だったなー。部分点もらえると良いが・・・

３（３）は「PCで実行されたログの検査」
と書きました。「ログの検査」とか「ログチェック」とか書いていたら満点は無理でも２点くらいくれないでしょうか泣

よく考えたら僕は普段の行いがいいから設問3の(3)はイベントのログの解析でも◯ですね
部分点じゃなくて満点ですよ

最後のは「管理サーバが可視化した分析結果の確認」って書きました……シンプルにログの確認でよかったんですかね……

自分は
受信したログの解析結果の確認とかにしました。
（管理サーバでログの分析及び分析結果の可視化まで行なっているとの記述があったので。）

設問3(3)について、「被害内容を早期に明らかにするために～」というところからログの確認頻度に注目し、p5中央の「fw及びプロキシサーバのログの検査は担当者が週に1回実施する」というところを解決すべきかなと考えました。
(ログの確認は週一でやってるのかな？と思いました。)

したがって、私は「管理サーバのログの確認を毎日実施する」と記入したのですが、どう思いますか？

問3
（1）
問題文で指摘された箇所の前後関係から考えると、ICMPで攻撃先を見つけた後の話なので「インターネット上のC &Cサーバとの通信」とかが正しいと思っています。

（2）
下線部をみると内部ネットワークの探索を阻止する緊急措置なのでネットワークから切り離すのはやり過ぎで業務に支障がでると考えました。「ICMPエコー要求に応答しない設定をする」と回答しました。

【設問1】
(1) a:ア b:ケ c:ク
(2) ア
【設問2】
(1) PC社のサーバ・PCのポート開放状況（ポートは(b)でやってました・・。これはバツ）
(2) ウ
(3) ア
【設問3】
(1) ポート番号を変えながらパケットを送信する事象（部分点もらえませんかねぇ）
(2) 検知されたPCをLANから切り離す
(3) 全エージェントから受信したログの解析
ここで７割は取りたいンゴね

3(1)は(c)に示したマルウェアの活動なのでC&Cサーバとの通信が正解ですね

C＆Cサーバの通信が正解であれば
内部ネットワークの探索や窃取情報の送信を書いた人も部分点来そうですね(c＆cサーバに乗っ取られた動作なので)

やきとりさん
設問3(1)
はエージェントがイベントログを取っている記述があるので、これに関係した回答だと思うのですが、どうでしょうか？

3(1)は(a)～(c)に示したマルウェアの活動です
(a)～が6ページ目、(c)が7ページ目なの作問者の悪意を感じました

設問1
（1）a:ア b:ケ c:ク
（2）ア
【設問2】
（1）社内に存在する有効なホスト
（2）ウ
（3）ア
【設問3】
（1）送信済メールに送信した覚えのないメールがあった時
（2）PCをネットワークから切り離す
（3）PCで実行されたイベントのログを解析

設問3（1）の解答は我ながらダサいなと思いました。
せめて「不審なサービスの動作を検知した時」くらいは
書けばよかったんでしょうか。それもたぶん0点なのでしょうが。
最後の問題は抜き取るとこ間違ってますが、言いたいことは
みなさんと同じです。ここはせめて部分点をお恵みいただきたく！
この問題は正直5割もらえるかどうか？自信がないです。

そうなんです
(c)までよく読むとエコー要求だけではなく
ネットワーク探索してCCサーバに情報送信までやってるんですよね

3の問題は、
1 ccサーバへの通信、不審なメール送信
2 対象パソコンをネットワークから切り離す
3 個人情報や秘密情報の接種被害の確認
と回答しました。

部分点が少しでも入ってくれたら嬉しいです。

ほげさん、太郎さん
あー、「(c)に示した」ですね。見落としましたねぇ。⑤の線、「(c)に示した」から引いてくれればワンチャンあったかもしれないです・・。

もろこしさん
まったく自信はないのですが、イベントログは(3)に関係する（＝被害が発生した時のディジタルフォレンジックスを行うため）なのかなぁって勝手に思ってました。

【設問1】
(1) a:ア b:ケ c:ク
(2) ア
【設問2】
(1) 他の通信可能なPCやサーバの情報
(2) ウ
(3) ア
【設問3】
(1) 連続したアドレスに対しICMPエコー要求パケットの送信
(2) 該当のPCからのICMP要求パケットを拒否する
(3) 管理サーバでログの分析と分析結果の可視化
3（2）はLANから切り離すと迷った
（よくよく考えたらLANから切り離したら管理サーバ側から監視できない？）
あとこのウイルスEmotetの動作そのまんまだったのでその辺もっと勉強しとけばよかったなと後悔

あれ？
6ページ目最後
…実施する。例えば、EDRは、(a)～

7ページ目最初
(c)に示したマルウェアの活動を検知した場合に、…

となってません？

つまりcまでのウイルスの挙動を確認した場合ってことなんですかね？
どちらとも読み取れる問題なので悩みますね

初さん
＞  6ページ目最後
＞  …実施する。例えば、EDRは、(a)～
なってますね。ここでもさらに見落とし・・；本当わたしは国語能力ないンゴね。

とはいえあの解答欄では(a)~(c)までの挙動を全部入れるのは無理なので、問題作成者が何を求めているのかよくわかりません。

少なくともエコー送信だけでは内部探索しかカバーできてないので部分点になりそうですね

内部探索、情報窃取と送信(メール送信)
をカバーする内容まで書けてないと厳しそうですね

(a)が1番検知しやすい異常かなとは思ったのですが、(a),(b)には既に下線が引かれて(別の設問とはいえ)問題に使われているのが気になりました。

おひさまさん
どこで検知する（＝できる）か？みたいな話ですよね。。
(a)ICMPパケット飛ばしてIP確認・・・やりすぎ？
(b)SYNパケット飛ばしてポート確認・・これもやりすぎかも？
(c-1)脆弱性を利用して秘密情報奪取・・EDR側でそれが秘密情報とかわかる？
(c-2)C&Cへ送信・・・・・・・・・・・遅い？でも検知可能となるとここしかない？

全部のパターンを防げる完璧なEDRがこの世にある訳では無いのは承知な前提ですが、

エコー要求(内部ネットワークの探索)
情報窃取(メールクライアントからデータ抜き出し等不審な動作)
情報送信(C＆Cサーバへの送信)

一般的なレベルである程度防げればいいやよ考えれば、全て対象かと思われます

有識者の方教えてください。

問3(1)ですが
ICMPエコー要求パケットやTCPの応答系でマルウェア感染を疑って処置してしまうと日常系の保守やネットワーク設定、通信など無害なものにまで処置してしまう恐れがあるから
私は機密情報を奪取、C Cサーバーに送信と答えました。どうでしょう？？

インターネット上のC&Cセンターへの通信、みたあな感じで書きました。

問3(1)は回答が色々ありそうですね。私はC&Cサーバーとの通信にしました。
理由は、ICMPエコー要求(ping)を検知条件にすると業務で使う人が大量に誤検知されてしまうと思ったからです。

設問1
（1）（a）ア（b）ケ（c）ク
（2）ア
設問2
（1）応答のあったサーバのネットワーク情報
（2）ウ
（3）ア
設問3
（1）インターネット上のC&Cサーバとの通信
（2）該当PCを強制的にネットワークから切り離す
（3）管理サーバで定期的に分析結果を確認する

にしました。

設問3の（1）は、a～cを通じてマルウェアがやってるのはC&Cサーバとの通信かなと判断。
設問3の（2）は、たとえ通常業務に支障が出たとしても疑わしき通信を切るために切り離すのが優先と考えました。
設問3の（3）は、問題文に｢管理サーバは、エージェントの設定、エージェントから受信したログの保存、分析及び分析結果の可視化などの機能をもつ｣とあったので、せっかく可視化されてる分析結果を使う回答がここで来るだろうと判断。

セキュリティでトータル14点は取りたいな…

宛先を変えてすべてのホストにICMPエコー要求しているんだから
短時間で連続したICMPのエコー要求って怪しいと思わない？

設問3(3)は疑いが分かれば真っ先に管理サーバを確認しなきゃ...

設問３（１）  マルウェアＸの活動を検知した場合に、内部ネットワークの探索を防ぐなど。。

探索ということは(a)の行為なのでわたくしは(a)の内容を書きましたが、(b)も探索なのかな？
（c）までいったら探索防いでも仕方がない気がしませんか？
ただし「探索を防ぐなど」とありますので(c)でもありかなと思ったりもしてます。

(a)だけで良ければicmpの連続送信と記載してましたが
(b)、(c)も加味するという条件なので
ネットワーク探索、情報窃取、情報送信
でしょうね

設問1
（1）アケク
（2）イ（×！）
設問2
（1）ホストのポート番号
（2）ウ
（3）ア
設問3
（1）インターネット上のC&Cサーバとの通信
（2）不審な通信を遮断するみたいな（記憶が曖昧）
（3）ログの保存、分析及び分析結果の可視化

今回は情セキュ、難しかったですよね。
過去問解いてても、大問１つ30分配分でも貯金ができてたんですが
逆に30分超しても終わらず、結果他の大問にもしわ寄せが・・、の
痛いパターンでした。

最後の問(設問３(3))ですが、私の回答は
『ＦＷ及びプロキシサーバのログの検査』(本文抜出17文字)
にしました。少数派ですかね・・。

問の内容が、「早期に実施するべき」 とあるのに対して
ログの検査が「週１回」と具体的な記載があるので、何となく出題者の
ここのワード嗅ぎ付けろよ的な意図であるような気がしてならなかったのです。

とはいえ、時間に余裕がなかったので、焦って書いたので
合ってることを祈ります・・

設問３(1)、
aのみの内容か（ICMPエコー要求パケットの送信）、
a～cまですべて含む内容かで、意見が分かれてますが、
「マルウェアXの活動を検知」するのは、
「内部ネットワークの探索を防ぐなどの緊急処置をPCに対して実施する」ためなので、
b、cの段階での検知だと遅いのではないか、と思ったのですが、どうでしょうか…。

通常業務に支障が出るという点については、
ICMPエコー要求パケットの連続した送信、とか、
多数のアドレスへのICMPエコー要求パケットの送信、とかにすれば
いけるんじゃないかと思ったんですが、どうですかね
自分ネットワーク明るくなく、詳しい方からご意見聞きたいところでもあります

割れてるも何も問題文にa～cまで含む内容でって書いてあるから

単純にaだけ(多数のICMP送信による探索)では足りないのでは。

この投稿は投稿者により削除されました。(2022.10.11 02:33)

あー、「a～cで説明されているマルウェアXの活動内容を25文字内で表現せよ」という
設問だった、ってことか、なるほど…

下線⑥「緊急処置」の内容がネットワークからの切り離しで正解なら、
b、cで検知して緊急処置しても意味ありそうですしね

自分が実際にEDRを導入する立場になったと想像してみて、
検知する項目にC&Cサーバとの通信は入ってなくていいんか？という気もしますし

正解発表を震えて待ちます

問１は易問にしてよさんと同じ考えで回答しました。。
他の方の書き込みを見る限り間違ってるのは確実ですが同志を見つけてホッとしました…
時間なくてそこしか抜き出せませんでした

常夜鍋さんの答え方で良いと思いますけどね
マルウェアXの活動として、aがなければb.cが起きないという順番になっているわけですから
それにcの時点で活動を検知した場合すでに個人情報送信されちゃってて手遅れでもありますし
すべてのホストに連続でICMPエコー要求を送っている時点で怪しいと判断し、対策を講じるが正しいと思います。

＞すべてのホストに連続でICMPエコー要求を送っている時点で怪しいと判断し
もちろんここで、検出できれば理想ですが、
そのあとの窃取とCCサーバの送信も検出できるのは理想かと思います。

出口対策って結構重視されてるんですよ。

確かに、検出した後に次の攻撃段階、窃取と外部送信行為を継続する可能性がありますからね！
ICMPだけ気づけばいいと言うのは甘いですね

あるこさん
それはそう思います
ただあの文字数で、ってなるととりあえずaを書いて間違いってことはないんじゃないかなと
それにそこまで出題者は深く考えてないんじゃないかなと思います笑
まあこれで想定してなかった解答者が多かったからb,cについても得点あげるよってなるのが一番平和かもですね

内部ネットワーク探索と情報窃取、外部送信
でいいんじゃないですか。全然字数余りますよ

あくまで、PC内のエージェントがマルウェアXの動きを感知しているので
他のPCにICMPエコー要求がされているのは認知できないと思います。

また、宛先IPを変えてエコー要求すると問題に書かれているため、１つのPCに対して連続で受けるとは飛躍的な考えだと私は思いました。

どっちにしろ公式が正義ですので私も震えて待ちます。

設問3 (1) は C&C サーバに送信した時点をマルウェア X の活動として検知する派です。
試験中は ICMP エコー要求パケットの検知と迷いましたが、たまに業務でネットワークの情報を調査するときに宛先アドレス変えながら ping 打ったりするし、それをマルウェアの活動と取られちゃうのは厳しすぎでは？と思いました。
ただ、C&C サーバに送信した時点を検知してると手遅れな気がしますね。。

みなさま  お疲れ様でした。
設問３（１）ですが  
pingなら保守業務とかでもひっかかるからNGとのご意見ありますが
ほかの（b）（c）も通常業務と見分けがつくのでしょうか？
C＆Cサーバと他のサーバとの通信がhttpとかで実施されていたら、見分けがつかないのでは？
とはいえ、少し余談ですが  知り合いのとある業者さんがEDR的なものを導入した当初、
ネットでダウンロードやらアップロードやら添付ファイルメールで送信しただけなのに、
いちいちシステム管理者からアラート出たからって確認が来てうざかった。ということを聞いたことがあります。
なので（a）から（c）の事象をどれか書けばOK  と思いたいです。

設定3（1）私もC &Cサーバとの通信派です。
ICMP通信が違うと思ったのは先の方と同意見です。
情報の窃取に関しては検知できるのかが問題になってきます。
通信の内容に関しては情報が収集される様なのでやはりC &Cサーバとの通信が正しいかと思います。

因みに（2）に関しては感染拡大や被害の防止ではなく、敢えて探索を防ぐ緊急措置とあるのでICMPの無効化などと解答すると美しいのではないでしょうか？

No.94 おじさんおじさんさん様
>C＆Cサーバと他のサーバとの通信がhttpとかで実施されていたら、見分けがつかないのでは？
C&CサーバはC&CサーバのIPアドレスとかで特定できると思います。

ただ、設問は「どのような事象を検知した場合に、マルウェアXの侵入を疑うことができるのか」なので、(a)から(c)の事象すべてマルウェアXの侵入として"疑うことができる"ような気がします。(EDRの機能がどこからどこまで対応しているか不明ですが。。)

(a)から(c)ぜんぶ、あるいはいずれか書けば正解であってほしいですねえ。

＞情報の窃取に関しては検知できるのかが
メール受信ボックスの抜き出しとか、マクロの実行等
ディレクトリ参照とか一定のルールを決めればでできると思います。
C&CサーバはC&CサーバのIPアドレスがわからなければできないですが、わかればできます。

つまり全部対象なので、全部記載する必要があると

初めて書込みさせていただきます。
普段SCの掲示板で回答している者です。
皆様の書込みを見て興味を持ちましたので、解答を検討してみました。
正式な解答が出るまでの参考程度にお考えいただければ幸いです。

設問3-(1)の解答は複数解答ありのケースで、
・「大量のICMPエコー要求パケットを検出」
・「大量のSYNのみでACKを返さない通信」（SYNスキャンと思われる通信）
・「インターネットへの大量のデータアップロード」
のいずれかが適切と考えられます。

理由ですが、
「(ii) ..., あらかじめ設定した条件に合致した動作が行われたことを
  検知した場合に, ...」とあります。
下線⑤はこの「あらかじめ設定した条件」としてEDRに事前設定できる
内容を解答するのがIPAの意図と思われます。
解答も(a),(b),(c)のマルウェアの挙動からの視点ではなく、EDRからの視点で
設定できる内容に加工して解答することがポイントと判断しました。

(a)は
マルウェアの動作は「宛先アドレスを変えながら・・・」ですが、
EDRから見た場合「大量のICMPエコー要求パケットを検出」と認識します。

(b)は
マルウェアの動作は「SYNパケットの送信」ですが、
EDRから見た場合「TCPの3Wayハンドシェイクを行わずACKを返さない、SYNスキャン
を検出」と認識します。

(c)は
マルウェアの動作は「C&Cサーバと通信」ですが、
EDRから見た場合「インターネットへの大量のデータアップロード」と認識します。
推測ですが、事前にC&CサーバのFQDNやIPアドレスを設定しておくのは無理と
思われます。挙動としてはインターネットへの大量のデータアップロードの検出が
EDRの事前設定として適切と思われます。

したがって、マルウェアからみた挙動の
「宛先アドレスを変えながらICMPエコー要求」
「TCPのSYNパケットの送信」
「C&Cサーバへ通信」
などの解答としてIPAの意図を外している可能性があります。

とはいえ、これらは私の知識と経験からの解答です。
IPAの意図が別のところにある可能性もあります。
間違っている可能性も大いにありますので、その点はご寛恕ください。

No.98 pixさん
>推測ですが、事前にC&CサーバのFQDNやIPアドレスを設定しておくのは無理と思われます。
おっしゃる通り、事前にEDRにC&CサーバのFQDNやIPアドレスを設定するのは無理な気がしますね。。(c)を根拠とするならインターネットへのデータアップロードに焦点を当てるべきと思います。

解答を導くまでの考え方、参考になりました。ご教授いただきありがとうございました。

TACの解答速報は「複数の宛先にICMPエコー要求を送信している。」で、(a)について言及していましたね。この設問は×かなぁ。ざんねん。

ccサーバへの送信に部分点があるか否か、、

テストの答えとして何が正しいのかはさておき
（さておけないけど）
（問題の作り方がわr、いや何でもない）
このスレッド、勉強になります…！

設問2(1)、「ネットワークに接続中のホストの情報」みたいなこと書いたんですけどふわっとしすぎですか？？IPアドレスとかの意味での情報か、ってここで解答見て気づきました

配点次第ですかねー
似たようなこと書いちゃいましたが、流石にふわっとしすぎですし部分点貰えればラッキーくらいに考えてます

ホスト情報っていったらIPアドレスも含むので点もらえるとおもいますよ

設問3-(1)について、「あらかじめ設定された条件に合致した事象」にしました。
単純にパターンマッチングを確認したかった問題なのかな、と…

?私もるーさんと同じ答えでした。
同士がいてちょっとうれしい。バツだけど。

なんか、今回の情セキュって過去問慣れしてない人のほうが点取れてるような気がするんですよねー。

調べてみたらedrはc&cサーバとの通信を検知できるらしいですけど、3-1c&cと書いた人はどうなるのでしょう、、

すごく初歩的な話でお恥ずかしいのですが…
解答必須の問1は、解答用紙の問題選択欄で丸印を自分で付ける必要があったでしょうか？
問2以降は選択したものに丸印をつけた記憶があるんですが、問1に丸つけたかな…？と、ふと不安になってきました。
どなたかご教示くださるとありがたいです。

＞Yさん
問１は最初から太丸がついてたと思いますよ。

2
(1)社内の他のセグメントのIPアドレス

3
(1)全てのホストから情報を取得しようとする事象
(2)内部ネットワークと外部ネットワークを切り離す
(3)イベントのログを解析する体制を整える

だいぶ曖昧かつ間違った表現なきもするけど、キーワード単位で部分点くれないかなぁ

>部分点くださいさん

自分もキーワード単位の部分点狙いなので似たようなこと書きました。不安です。。

＞ぱぴこさん
ありがとうございます！安心しました！

itecの解答だと問3-1に「外部サーバとの通信」って書いてあるから、もしかしたらc＆cサーバの送信でも間違いではない説でてきた

典型的な標的型攻撃の場合、初期感染のマルウェアは機能的に未完成で、C&Cサーバと通信しながら部品供給を受け完成形に至るので、そのような場合なら、初期のC&Cサーバとの通信を検知して実質的な被害を防ぐことができると思います。ただ、今回の設問は、最初から完成形のマルウェアだった想定のように読めたので、C&Cサーバとの通信は攻撃の最終段階だったのかなと思いました。設問の被害とは情報流出のことだと思いますので、今回の場合、C&Cサーバとの通信が発生した時点で情報流出がおこるおそれがあり、前段階のICMPやポートスキャンで検知する必要があったのではないかと思いました。

設問3
(1)社内の他の機器や外部のC＆Cサーバとの異常な通信
(3)エージェントから受信したログの早期分析

いかかでしょうか？
どなたかご意見お願いします。

マクロを実行させるとC & Cサーバとの通信が行われ、マルウェア本体がダウンロードされるとあるので、ICMPでの探索は不適切であると思いますがどうでしょうか？
侵入を疑うというニュアンスにも違和感を覚えます。
ICMPでの探索を検知した時点で侵入を疑うのではなく被害拡大の防止策を講じる必要がありそうです。
これが（2）へ続き、緊急措置としてICMPでの探索を無効化すると解答しました。
ネットワークを遮断するのは探索を防止した上で行う被害拡大の防止策だと思います。

ICMPエコー要求ってpingことなんだね。
問題つくったやつ絶対性格悪いだろ。

設問3(3)についてですが、問題文をよく読むと、「本文中の字句を用いて」
とあります。

管理サーバのログを確認する
は、字句を用いていないため正答ではない気がしてきました。

正しくは、
ログの分析及び分析結果の可視化
だと思いますが、皆さんいかがでしょうか?EDR導入後の前提なので主語も要らない気がします

「管理サーバ」が本文中の字句なので、大丈夫だと思いますが、エージェント、ログの分析結果等の字句が入っていたほうが、しっくりきますね。

①ログの保存
②ログの分析
③ログの分析結果の可視化
が管理サーバの機能です。
保存はおそらく、一定周期で自動実行されると思いますが、
分析と分析結果の可視化の機能は、リアルタイムに行われているのか、いつの時点のものかは定かではないので、自動実行された前提で分析結果の確認と書くのは理にかなってません。

そこで、明示する意味でも、分析・分析結果の可視化の両方を抑える必要があると思います。
結論としては、EDR導入後に、被害発生時に被害内容を明らかにすべき対応としては、
  ログの分析、分析結果の可視化
と本文から字句をそのまま抜き出すのが正解でしょうね。
字数が足りれば、管理サーバ（エージェント）を入れるのは問題ないと思います。