V.S.A.

情報処理推進機構(IPA - JITEC) から、平成20年秋期情報処理技術者試験の午後問題の解答例が公表されました。

リンク: 情報処理推進機構：情報処理技術者試験：問題冊子・配点割合・解答例・採点講評（2008、平成20年）.

これに拠ると、情報セキュリティアドミニストレータ問題、午後 I 問 2 設問 3 は、「IPアドレスの取得タイミング」を題意のポイントとしているようです。

情報セキュリティアドミニストレータ 午後 I 問 2

設問 3 (「解答例・解答の要点」より引用)
(1)
タイミング： IP アドレス取得後、パターンファイルやパッチが更新されるまで
範囲：
・幹線 Q 社 L3SW を経由しない PC
・幹線 Q 社 L3SW で隔離された業務用 VLAN 以外の範囲

(2)
・検査が終了する前も IP 通信が可能だから
・検査を行う前から IP 通信が可能となるから

しかし、IP アドレスの取得が必ずしもウィルスや攻撃に必要ではありません。一歩譲って IP アドレスが必要だとしても、DHCPから IP アドレスを取得しなくても、マルウェアが勝手に IP アドレスをつけて通信を行うことも技術的には可能です。したがって、これらの解答は間違った知識を世の中に広げることになります。

このような誤った考え方を普及させないよう、 IPA の情報処理技術者試験センターに電話で意見具申しました。

＜参考＞
リンク: V.S.A.: 情報処理技術者試験 平成20年度 秋期 「情報セキュリティアドミニストレータ」 午後問題 解答例と解説.

【追記 2008/12/05】

ちょっとタイムリーな記事を見つけたので追記しておきます。

DHCPサーバー機能を持つウイルス出現、非感染パソコンを悪質サイトに誘導：ITpro

　今回出現したウイルスも“原理的”には同じ。異なるのは、ウイルスに感染したパソコンではなく、同じネットワークに存在する非感染パソコンに被害を与える点。

　 今回のウイルスは、感染すると、そのパソコン上でDHCPサーバーを動作させるとともに、ネットワークを流れるデータを監視する。そして、別のパソコンが 正規のDHCPサーバーに対して送信した問い合わせパケットを見つけると、その問い合わせに対して偽の応答を送信する。

　偽の応答には、攻撃者のDNSサーバーを参照させるような設定情報が含まれる。このため、この応答を受け取ったパソコンは、攻撃者の意のままに、悪質サイトに誘導される恐れがある。

このような「ネットワークを流れるデータを監視する」ウィルスの場合、原理的には自分自身が IP アドレスを持っている必要がありませんね。

【追記 2008/12/09】

IPA から電話回答をいただきました。内部で検討したが、IP 層より下位でマルウェアが活動するケースがあるのはわかっているが、今回の出題の前提の範囲では、公表された解答例で問題ないと判断し、訂正はしない、とのことでした。

深い知識を持った方が解答した答案の可否についてまで聞くことはできませんでした。そのような方がこの問2を選択したとしたら、不運としかいいようがなく、非常に残念に思います。