説明
インシデント対応ポリシーまたは計画は、セキュリティインシデントへの対応に関する役割と責任、手順とプロセス、コミュニケーションとエスカレーションのプロトコル、報告および文書化の要件を定義する文書です。責任者は、インシデント対応ポリシーまたは計画に記載されている内容を確認し、セキュリティインシデント発生時に誰にいつ連絡を取るべきか、またどのような情報をどのように共有すべきかを決定する必要があります。また、インシデント対応ポリシーまたは計画は、インシデントの通知と開示に関する組織のポリシーおよび法的義務と整合させる必要があります。

システム起動時に実行されるように設定された新しいプログラムが、発生している不審なアクティビティの原因として最も可能性が高いと考えられます。これは、マルウェアがシステムのレジストリキーを変更して永続性を確保していることを示唆しています。ファイル整合性監視（FIM）は、システム上のファイルやレジストリキーの変更を監視し、不正または悪意のある変更があった場合にセキュリティアナリストに警告するツールです。FIMによってトリガーされた警告は、マルウェアがRunサブキーの下に新しいレジストリキーを作成したことを示しています。このキーは、システム起動時にプログラムを自動的に起動するために使用されます。この新しいレジストリキーは、Tempフォルダ内の「update.exe」というファイルを指し示しており、これは正規のアップデートファイルを装った悪意のある実行ファイルである可能性があります。公式リファレンス：
https://www.comptia.org/blog/the-new-comptia-サイバーセキュリティアナリストの質問への回答
https://partners.comptia.org/docs/default-source/resources/comptia-cysa-cs0-002-exam-objectives
https://www.comptia.org/training/books/cysa-cs0-002-study-guide

正解は D です。アクセス ポイントをネットワークから切断します。
不正アクセスポイントとは、ネットワーク管理者の許可なく、またはネットワーク管理者の承諾なくネットワーク上に設置された無線アクセスポイントです。不正アクセスポイントは、権限のないユーザーによるネットワークへのアクセス、ネットワークトラフィックの傍受、ネットワークやネットワークデバイスへの攻撃などを可能にするため、深刻なセキュリティリスクをもたらす可能性があります1234。
証拠を保全しながらネットワークを保護するために最初に行うべきアクションは、不正アクセスポイントをネットワークから切断することです。これにより、アクセスポイントが他のデバイスやユーザーと通信できなくなり、ネットワークへのさらなる損害や侵害を防ぐことができます。また、不正アクセスポイントを切断することで、その状態と設定も保存されるため、フォレンジック分析や調査に役立ちます。
不正アクセス ポイントを切断するには、ネットワーク ポートからプラグを抜くという物理的な方法と、無線周波数を無効にするというワイヤレスの方法で行うことができます5。
他のオプションは、ネットワークを保護したり、証拠を効果的に保存したりできない可能性があるため、最初に実行する最適なアクションではありません。
オプションAは、最初に行うべき最善の対策ではありません。パケットスニファーを実行してアクセスポイントとの間のトラフィックを監視しても、不正アクセスポイントによるネットワークへの被害を阻止できない可能性があります。パケットスニファーは、ネットワークパケット（ネットワークを移動するデータ単位）をキャプチャして分析するツールです。パケットスニファーはネットワークの問題を特定してトラブルシューティングするのに役立ちますが、不正アクセスポイントからの悪意のあるトラフィックを防止またはブロックできない可能性があります。さらに、パケットスニファーの実行には追加の時間とリソースが必要になる可能性があり、インシデントへの対応と緩和が遅れる可能性があります5。
オプションBは、アクセスポイントに接続してログファイルを調べてもネットワークを保護したり、証拠を保存したりできない可能性があるため、最初に行うべき最善の策ではありません。アクセスポイントに接続すると、アナリストのデバイスや認証情報が、不正アクセスポイントによる攻撃や不正アクセスの危険にさらされる可能性があります。ログファイルを調べることで、不正アクセスポイントの出所や活動に関する情報が得られる可能性がありますが、フォレンジック分析や調査に役立つ可能性のある証拠が改変または削除される可能性もあります。さらに、アクセスポイントに接続してログファイルを調べても、不正アクセスポイントによるネットワークへの被害を防止または阻止できない可能性があります5。
オプションCは、最初に行うべき最善の策ではありません。アクセスポイントに接続しているユーザーを特定し、攻撃者を見つけようとすることで、ネットワークを保護したり、証拠を保存したりできない可能性があります。アクセスポイントに接続しているユーザーを特定するには、無線デバイスのスキャンやネットワークトラフィックの分析など、追加のツールや手法が必要になる場合があり、インシデントへの対応と被害軽減に必要な時間とリソースが奪われる可能性があります。
攻撃者は暗号化、スプーフィング、プロキシサーバーなど、様々な方法で身元や所在地を隠蔽するため、攻撃者を発見することは困難、あるいは不可能となる可能性があります。さらに、アクセスポイントに接続しているユーザーを特定し、攻撃者を発見しようとしても、不正アクセスポイントによるネットワークへのさらなる損害や侵害を防止または阻止できない可能性があります5。
参考文献:
1 CompTIA サイバーセキュリティアナリスト（CySA+）認定試験の目標
2 サイバーセキュリティアナリスト+ - CompTIA
3 CompTIA CySA+ CS0-002 認定試験対策ガイド
4 CertMaster Learn for CySA+ トレーニング - CompTIA
Wi-Fi上の不正アクセスポイントから身を守る5つの方法 - Byos
6 ワイヤレス アクセス ポイントの保護: 不正な Wi-Fi ネットワークを見つける 5 つの手順...
7 不正アクセスポイント - Techopedia
8 不正アクセスポイント - Wikipedia
9 不正アクセスポイント（不正AP）とは？ - コンテキストセキュリティ

インシデント対応スタッフが現場に到着したら、まず部門全体をネットワークから分離し、各コンピュータをオフラインで確認することが最初のステップです。このステップは、マルウェア感染を封じ込め、他のシステムやネットワークへの拡散を防ぐのに役立ちます。各コンピュータをオフラインで確認することで、感染源と範囲を特定し、復旧のための最善の行動方針を決定するのに役立ちます12。すべてのシステムの電源を入れ、感染スキャンを行い、USBストレージデバイスにデータをバックアップすることは、マルウェアを起動させ、さらなる損害やデータ損失を引き起こす可能性があるため、リスクの高いステップです。また、USBストレージデバイスやそれに接続する他のシステムにも悪影響を与える可能性があります。部門内の影響を受けたシステムにインストールされているソフトウェアを特定して削除することも可能ですが、部門をネットワークから分離し、各コンピュータをオフラインで確認した後に行う必要があります。マルウェアを完全に削除できないことを説明してからデバイスを再イメージ化することは、データ損失やダウンタイムにつながる可能性があるため、極端な措置です。これは、データのバックアップと整合性の検証を行った上で、最後の手段としてのみ行うべきです。バックアップ権限を持つ管理者アカウントで影響を受けるシステムにログオンすることは危険な行為です。管理者の資格情報と権限がマルウェアに公開され、アクセスと機能をエスカレートされる可能性があるためです34。参考資料：インシデント対応：プロセス、ベストプラクティス、ツール - Atlassian、インシデント対応のベストプラクティス | SANS Institute、マルウェア除去：デバイスからマルウェアを除去する方法、PCからマルウェアを除去する方法 | PCMag