令和5年試験問題 [科目B]問15

 消費者向けの化粧品販売を行うA社では,電子メール(以下,メールという)の送受信にクラウドサービスプロバイダB社が提供するメールサービス(以下,Bサービスという)を利用している。A社が利用するBサービスのアカウントは,A社の情報システム部が管理している。

〔Bサービスでの認証〕
 Bサービスでの認証は,利用者IDとパスワードに加え,あらかじめ登録しておいたスマートフォンの認証アプリを利用した2要素認証である。入力された利用者IDとパスワードが正しかったときは,スマートフォンに承認のリクエストが来る。リクエストを1分以内に承認した場合は,Bサービスにログインできる。

〔社外のネットワークからの利用〕
 社外のネットワークから社内システム又はファイルサーバを利用する場合,従業員は貸与されたPCから社内ネットワークにVPN接続する。

〔PCでのマルウェア対策〕
 従業員に貸与されたPCには,マルウェア対策ソフトが導入されており,マルウェア定義ファイルを毎日16時に更新するように設定されている。マルウェア対策ソフトは,毎日17時に,各PCのマルウェア定義ファイルが更新されたかどうかをチェックし,更新されていない場合は情報システム部のセキュリティ担当者に更新されていないことをメールで知らせる。

〔メールに関する報告〕
 ある日の15時頃,販売促進部の情報セキュリティリーダーであるC課長は,在宅で勤務していた部下のDさんから,メールに関する報告を受けた。報告を図1に示す。
  • 販売促進キャンペーンを委託しているE社のFさんから9時30分にメールが届いた。
  • Fさんとは直接会ったことがある。この数か月頻繁にやり取りもしていた。
  • そのメールは,これまでのメールに返信する形で作成されており,メールの本文には販売キャンペーンの内容やFさんがよく利用する挨拶文が記載されていた。
  • 急ぎの対応を求める旨が記載されていたので,メールに添付されていたファイルを開いた。
  • メールの添付ファイルを開いた際,特に見慣れないエラーなどは発生せず,ファイルの内容も閲覧できた。
  • ファイルの内容を確認した後,返信した。
  • 11時頃,Dさんのスマートフォンに,承認のリクエストが来たが,Bサービスにログインしようとしたタイミングではなかったので,リクエストを承認しなかった。
  • 12時までと急いでいた割にその後の返信がなく不審に思ったので,14時50分にFさんに電話で確認したところ,今日はメールを送っていないと言われた。
  • 現在までのところ,PCの処理速度が遅くなったり,見慣れないウィンドウが表示されたりするなどの不具合や不審な事象は発生していない。
  • 現在,PCは,インターネットには接続しているが,社内ネットワークへのVPN接続は切断している。
  • Dさんはすぐに会社に向かうことは可能で,Dさんの自宅から会社までは1時間掛かる。
 C課長は,すぐにPCを会社に持参し,オフラインでマルウェア対策ソフトの定義ファイルを最新版に更新した後,フルスキャンを実施するよう,Dさんに指示をした。スキャンを実行した結果,DさんのPCからマルウェアが検出された。このマルウェアは,マルウェア対策ソフトのベンダーが9時に公開した最新の定義ファイルで検出可能であることが判明した。
 A社では,今回のマルウェア感染による情報セキュリティインシデントの問題点を整理し,再発を防止するための対策を講じることにした。

設問 A社が講じることにした対策はどれか。解答群のうち,最も適切なものを選べ。

  • PCが起動したらすぐに自動的にVPN接続するように,PCを構成する。
  • これまでメールをやり取りしたことがない差出人からメールを受信した場合は,添付されているファイルを開かず,すぐに削除するよう社内ルールに定める。
  • マルウェア定義ファイルは,10分ごとに更新されるように,マルウェア対策ソフトの設定を変更する。
  • マルウェア定義ファイルは,8時にも更新されるように,マルウェア対策ソフトの設定を変更する。
  • メールに添付されたファイルを開く場合は,一旦PCに保存し,マルウェア対策ソフトでスキャンを実行してから開くよう社内ルールに定める。
正解 問題へ
分野:情報セキュリティマネジメントの運用・継続的改善
カテゴリ:情報セキュリティインシデント管理
解説
  • もしマルウェアがネットワークを介して感染を拡大するタイプだった場合、VPN接続に乗って社内に感染が広がるおそれがあります。自動でVPN接続する設定は、このリスクを大きくするだけなので対策として適切ではありません。
  • 一般的な管理策としては適切と言えますが、今回は直接会ったこともあり、普段からやり取りしていた相手を装って攻撃メールが送られているので、知らない人からのメールを開かないという対策では効果がありません。
  • 正しい。今回のような被害を防ぐためには、最新のマルウェアが公開された9時から攻撃メールを受信した9時30分までに、マルウェア定義ファイルが更新されるようになっていなければなりません。したがって、10分ごとの更新が効果的かつ必要な対策となります。
  • 今回のマルウェアは9時公開の最新の定義ファイルで初めて検出可能となっているので、たとえ8時に更新する設定だったとしても感染を防ぐことはできません。よって、不適切です。
  • 一般的な管理策としては適切と言えますが、今回のマルウェアは9時公開の最新の定義ファイルで初めて検出可能となっているので、1日前の16時時点の定義ファイルでは検知することができません。今回のような場合は、マルウェア対策ソフトでスキャンしたとしても被害を免れることはできません。よって、対策として適切ではありません。

Pagetop