RCE はリモート コード実行の略で、攻撃者がターゲット システム上で任意のコマンドを実行できるようにする攻撃の一種です。質問にある不審なコマンドは RCE の一例で、wget および chmod コマンドを使用してリモート サーバーから悪意のあるファイルをダウンロードして実行しようとします。バッファ オーバーフローは、プログラムが保持できる量を超えるデータをメモリ バッファに書き込むときに発生する脆弱性の一種で、他のメモリ位置を上書きしてプログラムの実行を破壊する可能性があります。ICMP トンネリングは、ICMP パケットを使用して、通常はファイアウォールやフィルターによってブロックされるデータをカプセル化して送信する技術です。smurf 攻撃は、ネットワークに ICMP エコー要求を大量に送信し、ネットワーク上のすべてのデバイスが応答して大量のトラフィックを生成する DDoS 攻撃の一種です。検証済み参考文献: バッファ オーバーフローとは何ですか? 攻撃、タイプ、脆弱性 - Fortinet1、スマーフ攻撃とは何ですか? スマーフ DDoS 攻撃 | Fortinet2、エクスプロイト - CVE 評価の解釈: バッファ オーバーフローと ...3 の拒否

正解は A. 121.19.30.221 です。
ログ ファイルと組織の優先順位に基づいて、追加の調査が必要なホストは次のとおりです。
121.19.30.221。機密データを含むファイルにアクセスした唯一のホストであり、パートナー ベンダーの範囲外であるためです。
ログ ファイルには次の情報が表示されます。
※WebサーバーにアクセスしたホストのIPアドレス
※アクセスした日時
* リクエストされたリソースのファイルパス
* 転送されたバイト数
組織の優先事項は次のとおりです。
* 不正なデータ開示は、サービス拒否攻撃よりも重要です
* サービス拒否の試みは、ベンダーのデータ アクセスを保証することよりも重要です これらの優先順位によれば、組織にとって最も深刻な脅威は、機密データ、保護データ、または機密データがコピー、送信、表示、盗難、変更されるときに発生する不正なデータ開示です。 、または許可されていない個人によって使用されます123。したがって、機密データを含むファイルにアクセスし、パートナー ベンダーの範囲外にあるホストは、組織に最も高いリスクをもたらします。
機密データを含むファイルは、名前とパスで示されているように、/reports/2023/financials.pdf です。このファイルは 2 つのホスト 121.19.30.221 と 216.122.5.5 によってアクセスされました。ただし、121.19.30.221 だけがパートナー ベンダーの範囲 (216.122.5.x) から外れています。したがって、121.19.30.221 は不正なデータ開示の脅威となる可能性があり、追加の調査が必要です。
他のホストでは、ログ ファイルと組織の優先順位に基づいて追加の調査を行う必要はありません。
ホスト 134.17.188.5 は、短期間に /index.html に複数回アクセスしました。これは、Web サーバーにリクエストを大量に送信することによるサービス拒否の試みを示している可能性があります45。ただし、組織の優先順位によれば、サービス拒否の試みは、不正なデータ開示ほど重要ではなく、このホストが Web サーバーの通常の動作を妨害することに成功したという証拠はありません。
ホスト 202.180.1582 は /images/logo.png に 1 回アクセスしましたが、これは組織に対する悪意のあるアクティビティや脅威を示していません。
ホスト 216.122.5.5 は /reports/2023/financials.pdf に 1 回アクセスしました。これは、許可されていない場合、不正なデータ開示を示している可能性があります。ただし、このホストはパートナー ベンダーの範囲に属しており、月次レポートにアクセスする必要があり、組織の要件に従ってアクセスが許可されている唯一の外部ベンダーです。
したがって、ログ ファイルと組織の優先順位に基づいて、ホスト 121.19.30.221 は組織に不正なデータ開示のリスクが最も高いため、追加の調査が必要です。

調査結果を修正するために完了する必要がある最初のアクションは、すべてのフィールドで適切なサニタイズを実行することです。サニタイズは、システムまたはアプリケーションで処理または保存する前に、ユーザー入力またはデータを検証、フィルタリング、またはエンコードするプロセスです。サニタイズは、クロスサイト スクリプティング (XSS)、SQL インジェクション、コマンド インジェクションなど、サニタイズされていない入力やデータを悪用してシステムやアプリケーション上で悪意のあるスクリプト、コマンド、クエリを実行するさまざまな種類の攻撃を防ぐのに役立ちます。すべてのフィールドで適切なサニタイズを実行すると、脆弱性評価中に見つかった最も重要かつ一般的な脆弱性である XSS に対処するのに役立ちます。

C) 不可能な地理的速度: これは、通常の人間の移動では不可能な時間枠内で、単一のユーザーのアカウントが異なる地理的場所からアクセスされるイベントです。ログでは、ユーザー「jdoe」が米国からアクセスし、その後数分以内にロシアからアクセスしていることがわかります。これは、何らかの形式の自動システムを使用するか、アカウントの資格情報が使用されない限り、事実上不可能です。さまざまな場所でさまざまな個人によって使用されます。
B) プッシュ フィッシング: これは、ユーザーがだまされて、自分が開始したわけではない多要素認証リクエストを承認させるプッシュ フィッシングの兆候である可能性もあります。これはログからは直接的にはあまり明確ではありませんが、ユーザーが MFA リクエストを受信して​​いる場合、リソースにアクセスしたいという真の欲求なしに開始されずに承認されていると推測できます。

信号シールドバッグと不正開封防止シールは、携帯電話の輸送中に携帯電話の完全性を維持するために使用できるツールです。信号シールドバッグは、電話機がデバイス上のデータや証拠を侵害する可能性のある信号を送受信するのを防ぎます。不正開封防止シールにより、携帯電話が輸送中に開封されたり改ざんされたりしていないことが保証されます。参照: モバイル デバイスのフォレンジック、セクション: 取得