午後Ⅰ試験（問２）

設問１．

　(1)

　下線部以降の「プロキシサーバのログに記録されていた」がポイント。

　この時点では、FWではじいたorプロキシでのBasic認証失敗の2択。

　D)にてFWには通信がなかったことが明記されているため、プロキシでのBasic認証失敗と判断できる。

　(2)　特に解説無し

　(3)　マルウェアが情報持ち出しに利用するプロトコルはDNSとHTTPということがわかっているため、そのプロトコルを用いた通信成功がないことを確認すればよい。

　(4)　2つ選べなのに、エオカキが対称な選択肢になっているので、これは回答としては間違いと推測できる。アの感染日時は、ユーザーの操作時間にも依存するため、優先して伝達すべき情報はイウ

設問２

​ (1)(2)　知識問題のため、解説無し

　(3)

　インターネット向けにDNSプロトコルがすべてOKになっているのは問題。

　今後アクセス制御するにしても個別にDNS問い合わせができると困るので、DMZからのアクセスは閉じておく必要あり。

　オフィスから外部DNSを経由することになったとしても、マルウェアから攻撃者のサーバへの名前解決自体を止めることはできないので、根本的な対策は別に必要。

　インターネット向けの名前解決経路：オフィスPC→内部DNS→外部DNS→インターネットの権威DNSサーバ

　(4)(5)　知識問題のため、解説無し