問題冊子、解答例、採点講評はこれ

本文(設問1)

問題文(設問1)

解説(設問1)

FTPのモードについて。FTPのモードはアクティブモードとパッシブモードがあり、アクティブモードはサーバ→クライアントで接続要求を行い、ポートはTCP/20です。パッシブモードはクライアント→サーバで接続要求を行い、ポートはランダムです。
図1注記からDBサーバは192.168.0.2で製造管理サーバが192.168.1.145ですので、表1のログを見るととDB→製造管理で接続要求を送っています。今回は製造管理サーバが相手サーバで、DBサーバがクライアントなのでパッシブモードと言えます。当然のように正答率は低かった模様。
答え パッシブ

本文(設問2)

問題文(設問2)

解説(設問2)

(1)はSNMPv2cでpublicという[b]名を使って聞きバージョンを取得するの穴埋め。コミュニティ名と言います。知識問題
答え コミュニティ
(2)は攻撃者がsrvの[c]モードでC&Cサーバとの接続に失敗した。の穴埋めとそう判断できる理由について。バインドモードは外部からの接続を受けるものでコネクトモードは外部に自ら接続するものです。消去法ですが、表2にbindとconnectの文字があり、connectのある15:08は表1のログで動作が許可になっていることからきっとこの時に通信が成功したと思われます。つまりbindは失敗なのでしょう。続いて同じくbindのある表2の2-3のコマンドラインには0.0.0.0:8080とあり、表3の3-3のローカルアドレスにこの文字があるのでこれだろうと思いつつ、表1の1-3を見ると8080宛の通信は拒否されています。これをまとめると答えになります。
答え バインド 2-3によって起動した3-3のポートへの通信が1-3で拒否されているから
(3)は攻撃者がsrvの[d]モードでC&Cサーバとの接続に成功した。の穴埋めと判断できる理由について。(2)を受けてそりゃdはコネクトです。2-4に対応するのは3-4で、さらに1-4は許可されていることを思えば成功したんだろうなとなります
答え コネクト 2-4によって開始された3-4の通信が1-4で許可されているから
(4)はC&Cサーバとの接続成功後にポートスキャンを実行したが、そのプロセスのPIDは何か。PIDが出てくるのが表3までで3-4を(3)で使ったら最後の3-5のPID 1365しかないやんという問題。サービスですね
答え 1365

本文(設問3)

問題文(設問3)

解説(設問3)

(1)は機器起動時にDNSリクエストを発行、ドメイン名△△△.comのDNSサーバからTXTレコードのリソースデータを取得、リソースデータの内容をそのままコマンドとして実行というのに対して、TXTレコードではできるけどAレコードではできないのはなぜか。n回目の登場というレベルのDNSレコードの話。Aレコードはホスト名-IPアドレスの関連付けなので、△△△.com IN A 192.168.0.1といった書き方になりますが、TXTレコードは文字通りテキスト情報なので、任意の文字列を設定できます。
答え TXTレコードには任意の文字列を設定できるから
(2)は受付サーバにlogdという怪しいプロセスが動いていたのでリソースデータのURLからファイルをダウンロードして調査しようとしたが、ダウンロードしたファイルは解析対象としては不適なのはなぜか。URLということは外部のサイトにアクセスするわけですが、そのサイトの内容なんていくらでも変えることができます。
この記事は公開すれば何らかのURLでアクセスできるようになり、きっと支援士の解説になっているでしょうが、私が中身を編集して支援士の話を全部消して扇風機の紹介を始めたらURLは同じでも中身が全く変わってしまいます。なのでURLをたどってダウンロードしてきても今動いていたものと内容が同じである保証はありません。
主な参考サイトに挙げてるやつが乗っ取られてR-18な内容に変わってたら記事ごとBANされたりするんだろうか
答え 稼働しているファイルと内容が異なる可能性があるから
(3)はダウンロードは不適なのでlogdファイルを[f]から取得した。の穴埋め。そりゃ受付サーバよ
答え 受付サーバ

終わりに

知識の必要なものと、それだけだと点数が低くなりすぎるからおまけで点数上げるものとで調整されているのを感じる問題
それはそうと知識が必要なかったので中ではすっ飛ばしたけどpsレコードとnetstatコマンドって何?という話をここでします。
psレコードは今動いているプロセス一覧を表示するもので、netstatコマンドはアクティブな接続を見るもので、windowsでもコマンドプロンプトでnetstatと打ってEnterを押せば見れますよ。中身はさっぱりわかりませんが

主な参考サイト

SNMP の設定
【解答速報】情報処理安全確保支援士 令和5年度春期【午後1問2】
【 ps 】コマンド――実行中のプロセスを一覧表示する
TCP/IP通信の状態を調べる「netstat」コマンドを使いこなす【Windows OS】