マルウェア感染の調査対象のPCに対して、電源を切る前に証拠保全を行いたい。
ARPキャッシュを取得した後に保全すべき情報のうち、最も優先して保全すべきものはどれか。
答え ア
【解説】
ARPキャッシュに載っているIPアドレスとMACアドレスの情報はPCが通信した相手になるが、ARPで調べられるのは同一サブネット内に限られるため、異なるサブネットとの通信についてはARPキャッシュでは分からないので、これを特定するためには動的に追加されたルーティングテーブル(ア)が必要になる。
これらの情報があると調査対象のPCがマルウェアに感染してしまったとき、どの装置にネットワーク経由でマルウェアを感染させた恐れがあるかを特定することができる。