マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきものはどれか。
- 調査対象のPCで動的に追加されたルーティングテーブル
- 調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
- 調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
- 調査対象のPCのシステムログファイル
解答
ア
解説
フォレンジックにおける証拠保全の優先順位は、デジタル・フォレンジック研究会 「証拠保全ガイドライン」にて、次の通り紹介されています。(原典はRFC3227)
- 調査対象のPCで動的に追加されたルーティングテーブル
正しいです。
選択肢中では、最も優先して保全すべきものです。 - 調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
ディスクに該当するため、ルーティングテーブルに比べ優先度は低いです。 - 調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
遠隔ロギングと監視データに該当するため、ルーティングテーブルに比べ優先度は低いです。 - 調査対象のPCのシステムログファイル
アーカイブ用メディアに該当するたm、ルーティングテーブルに比べ優先度は低いです。
参考情報
分野・分類
分野 | テクノロジ系 |
大分類 | 技術要素 |
中分類 | セキュリティ |
小分類 | 情報セキュリティ対策 |
出題歴
- SC 令和5年度春期 問13