情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和7年度春期 午前Ⅱ 問15: マルウェア感染の調査対象の PC に対して，電源を切る前に全ての証拠保全を行いたい。ARP キャッシュを取得した後に保全すべき情報のうち，最も優先して保全すべき

問題本文

マルウェア感染の調査対象の PC に対して，電源を切る前に全ての証拠保全を行いたい。ARP キャッシュを取得した後に保全すべき情報のうち，最も優先して保全すべきものはどれか。

選択肢

• ア.調査対象の PC で動的に追加されたルーティングテーブル
• イ.調査対象の PC に増設された HDD にある個人情報を格納したテキストファイル
• ウ.調査対象の PC の VPN 接続情報を記録している VPN サーバ内のログ
• エ.調査対象の PC のシステムログファイル

正解

ア. 調査対象の PC で動的に追加されたルーティングテーブル

解説

デジタルフォレンジックの証拠保全は、消えやすい揮発性の高い情報から順に取得するのが原則。電源を切ると失われるメモリやキャッシュ、動的に追加されたルーティングテーブルなどを先に保全し、HDD上のファイルやサーバ側ログは後でも取得できる。揮発性が最も高いアが優先で正解。実務ではこの順序を誤ると消失リスクの高い証拠を失う。

選択肢ごとの解説

• ア.動的に追加されたルーティングテーブルは電源断で消える揮発性の高い情報で、最優先で正解。
• イ.HDD上の個人情報ファイルは不揮発で電源断後も残るため、優先度は相対的に低い。
• ウ.VPNサーバ内のログは別機器に保存され調査PCの電源断で消えないため、最優先ではない。
• エ.システムログファイルはディスク上に残る不揮発情報で、揮発性データより優先度は低い。