情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問13: マルウェア感染の調査対象の PC に対して，電源を切る前に全ての証拠保全を行いたい。ARP キャッシュを取得した後に保全すべき情報のうち，最も優先して保全すべき

問題本文

マルウェア感染の調査対象の PC に対して，電源を切る前に全ての証拠保全を行いたい。ARP キャッシュを取得した後に保全すべき情報のうち，最も優先して保全すべきものはどれか。

選択肢

• ア.調査対象の PC で動的に追加されたルーティングテーブル
• イ.調査対象の PC に増設された HDD にある個人情報を格納したテキストファイル
• ウ.調査対象の PC の VPN 接続情報を記録している VPN サーバ内のログ
• エ.調査対象の PC のシステムログファイル

正解

ア. 調査対象の PC で動的に追加されたルーティングテーブル

解説

証拠保全は揮発性の高い情報から順に行うのが原則(揮発性の順序)。電源を切ると消えるメモリ上の情報が最優先で、ARPキャッシュの次に保全すべきは同じく揮発性の高い動的に追加されたルーティングテーブルである。HDD上のファイルやログ、別サーバのログは電源断後も残るため優先度は下がる。よってアが正解。実務では電源断前にメモリ・ネットワーク状態を先に取得し、後で不揮発媒体を保全する。

選択肢ごとの解説

• ア.動的なルーティングテーブルはメモリ上の揮発情報で電源断で消えるため最優先で保全すべきで正しい。
• イ.HDD上のテキストファイルは不揮発で電源断後も残るため、揮発情報より優先度は低く誤り。
• ウ.VPNサーバ内のログは別機器に残る不揮発情報で、対象PCの揮発情報より優先度は低く誤り。
• エ.システムログファイルはディスクに保存され電源断後も残るため、揮発情報より後でよく誤り。