情報処理安全確保支援士試験 令和5年春期午前Ⅱ 証拠保全
出典:令和5年春期 午前Ⅱ 問13
分野:セキュリティ / 情報セキュリティ対策
マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきものはどれか。
- ア:調査対象のPCで動的に追加されたルーティングテーブル
- イ:調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
- ウ:調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
- エ:調査対象のPCのシステムログファイル
TSUNAGARU-ADVICE
まず押さえたいこと
マルウェア感染調査で電源を切る前に優先すべきなのは、電源断で失われやすい情報です。ARPキャッシュの次は、メモリ上で動的に保持されている情報を優先して保全します。
迷ったときの判断軸
動的に追加されたルーティングテーブルは、再起動や電源断によって失われる可能性があります。一方、HDD上のファイル、VPNサーバ内のログ、システムログファイルは比較的残りやすい情報です。したがって、揮発性が高い情報を先に保全すると判断できます。
科目Bにつなげるために
科目Bでは、インシデント対応で証拠保全の順序を問われることがあります。基本は、メモリ・通信状態・ARPキャッシュ・ルーティングテーブルなどの揮発性情報を優先し、電源を切ると失われるものから先に保全するという考え方を押さえておきましょう。
デジタルフォレンジックスでは、証拠となる情報をできるだけ正しい状態で保全することが重要です。
特に注意が必要なのは、PCの電源を切ったり、時間が経過したりすると消えてしまう情報です。このような情報を「揮発性データ」といいます。
証拠保全では、消えやすい情報から先に取得するのが原則です。
たとえば、ルーティングテーブルやARPキャッシュは、PCの電源を切ると失われる可能性が高い情報です。そのため、システムログやテキストファイルのようにディスクに保存されている情報よりも先に保全します。
一方、システムログファイルや個人情報を格納したテキストファイルは、ディスク上に保存されているため、電源を切っても比較的残りやすい情報です。
また、VPNサーバ内のログは、調査対象PCの外部にある遠隔ログにあたるため、PC内の揮発性データよりも優先度は下がります。
ARPキャッシュを取得した後に最も優先して保全すべきなのは、同じく揮発性が高いルーティングテーブルです。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
⇒HDD上のテキストファイルは不揮発性の情報です。電源を切っても基本的には消えないため、ルーティングテーブルのような揮発性情報より優先度は低くなります。
ウ:調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
⇒VPNサーバ内のログは調査対象PCの電源断によって直ちに失われる情報ではありません。調査上は重要ですが、電源を切る前にPC上で優先して保全すべき揮発性情報ではありません。
エ:調査対象のPCのシステムログファイル
⇒システムログファイルはディスク上に保存される不揮発性の情報です。後から取得できる可能性が比較的高いため、電源断で失われやすい動的なルーティングテーブルより優先度は低くなります。