HOME
GIAC Certified Incident Handler GCIH

「GIAC Certified Incident Handler GCIH」の記事一覧

「Pyramid of Pain（苦痛のピラミッド）」において、攻撃者にとって変更が最も難しく、防御側が検知・遮断すると最大の打撃を与えられる頂点の要素はどれか。

TTPs（戦術・技術・手順）は攻撃者の行動習慣やスキルセットそのものであり、これを無効化されると攻撃者…

2026年3月9日

Windows 10/11において、lsass.exeプロセスへのアクセスを制限し、Mimikatzなどによる認証情報の窃取を防ぐ保護機能はどれか。

Credential Guardは、仮想化ベースのセキュリティ（VBS）を使用して、認証情報を管理するLSAプロセスを隔…

2026年3月9日

C2フレームワーク「Cobalt Strike」において、侵害したホスト間をSMB（Named Pipe）で接続し、インターネットに出られない内部ホストを操作する機能を何と呼ぶか。

SMB Beaconを使用すると、感染端末同士がWindows名前付きパイプ（SMB）でP2P通信を行い、出口ノードとなる…

2026年3月9日

情報共有において「TLP:AMBER」が指定された情報の取り扱いとして正しいものはどれか。

TLP:AMBERは「限定的な開示」を意味し、情報を効果的に活用するために知る必要がある組織やクライアント内…

2026年3月9日

Kubernetes環境において、Podのログやイベントを確認し、コンテナの再起動理由（OOMKilledなど）を調査するコマンドはどれか。

kubectl describe podコマンドは、Podの詳細なステータス、イベント履歴（Pull失敗、再起動理由など）を表…

2026年3月9日

ファイアウォールを通過するために、SSH接続の中に別の通信（例：WebトラフィックやRDP）をカプセル化して通す技術はどれか。

SSHトンネリング（ポートフォワーディング）を使用すると、許可されたSSH通信（ポート22）の中に、本来ブ…

2026年3月9日

攻撃者が侵害したシステムに残した痕跡（ログなど）を消去する「Timestomping」は、主にどのメタデータを操作する行為か。

Timestompingは、ファイルのタイムスタンプ（作成日時、更新日時など）を改ざんし、フォレンジック調査の…

2026年3月9日

ソフトウェア開発環境に侵入し、正規のアップデートファイルにマルウェアを混入させて配布する攻撃（例：SolarWinds事件）を何と呼ぶか。

信頼されているベンダーのソフトウェア配布プロセスを侵害し、正規の署名付き更新プログラムとしてマルウ…

2026年3月9日

Windows Defenderなどのアンチウイルスソフトが、メモリ上で実行される不審な.NETコードやPowerShellスクリプトをスキャンするために使用するインターフェースはどれか。

AMSIは、難読化解除後のスクリプトやメモリ上のコードをアンチウイルス製品に渡し、スキャンさせるための…

2026年3月9日

ファイルシステム上に実体を持たず、レジストリやWMI、PowerShellのみを使用してメモリ上で動作するマルウェアを何と呼ぶか。

ディスクに痕跡（exeファイル等）を残さないため、従来のファイルスキャン型アンチウイルスでの検知が困難…

2026年3月9日