資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

SC 令和5年度春期 問13

   

 マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきものはどれか。

  1. 調査対象のPCで動的に追加されたルーティングテーブル
  2. 調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
  3. 調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
  4. 調査対象のPCのシステムログファイル

解答・解説

解答

 ア

解説

 フォレンジックにおける証拠保全の優先順位は、デジタル・フォレンジック研究会 「証拠保全ガイドライン」にて、次の通り紹介されています。(原典はRFC3227)

 

  1. 調査対象のPCで動的に追加されたルーティングテーブル
    正しいです。
    選択肢中では、最も優先して保全すべきものです。

  2. 調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
    ディスクに該当するため、ルーティングテーブルに比べ優先度は低いです。

  3. 調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
    遠隔ロギングと監視データに該当するため、ルーティングテーブルに比べ優先度は低いです。

  4. 調査対象のPCのシステムログファイル
    アーカイブ用メディアに該当するたm、ルーティングテーブルに比べ優先度は低いです。

参考情報

分野・分類
分野 テクノロジ系
大分類 技術要素
中分類 セキュリティ
小分類 情報セキュリティ対策
出題歴
  • SC 令和5年度春期 問13

前問 一覧 次問