HOME»情報セキュリティマネジメント»午後問1
情報セキュリティマネジメント 午後問1
⇄問題文と設問を画面2分割で開く⇱問題PDF問1
標的型攻撃メールの脅威と対策に関する次の記述を読んで,設問1,2に答えよ。
Y社は,事務用機器を主力商品とする販売代理店である。従業員数は1,200名であり,本社には営業部,情報システム部,総務部などがある。
〔PCのマルウェア感染〕
ある日,情報システム部は,Y社内の1台のPCが大量の不審なパケットを発信していることをネットワーク監視作業中に発見し,直ちに外部との接続を遮断した。
情報システム部による調査の結果,営業部に所属する若手従業員G君が,受信した電子メール(以下,電子メールをメールという)の添付ファイルを開封したことが原因で,G君のPCがマルウェアに感染し,大量のパケットを発信していたことが判明した。幸いにも,情報システム部の迅速な対処によって,顧客情報の漏えいなどの最悪の事態は防ぐことができた。
〔受信したメール〕
情報システム部のS主任は,営業部の情報セキュリティリーダーであるE課長に,今回の事態に関する調査結果を報告した。次は,その時の会話である。
〔ヒアリング〕
S主任からの調査報告を受けたE課長は,G君に対して,このメールを受信した際の状況及び対応に関してヒアリングをした。また,Y社の情報セキュリティインシデント管理規程(以下,管理規程という)どおりには対応しなかった理由をG君に確認した。
E課長がまとめたヒアリング結果を図2に,Y社の管理規程を図3に示す。
〔情報セキュリティ意識向上に向けて〕
次は,ヒアリング実施後のE課長とS主任との会話である。
Y社は,事務用機器を主力商品とする販売代理店である。従業員数は1,200名であり,本社には営業部,情報システム部,総務部などがある。
〔PCのマルウェア感染〕
ある日,情報システム部は,Y社内の1台のPCが大量の不審なパケットを発信していることをネットワーク監視作業中に発見し,直ちに外部との接続を遮断した。
情報システム部による調査の結果,営業部に所属する若手従業員G君が,受信した電子メール(以下,電子メールをメールという)の添付ファイルを開封したことが原因で,G君のPCがマルウェアに感染し,大量のパケットを発信していたことが判明した。幸いにも,情報システム部の迅速な対処によって,顧客情報の漏えいなどの最悪の事態は防ぐことができた。
〔受信したメール〕
情報システム部のS主任は,営業部の情報セキュリティリーダーであるE課長に,今回の事態に関する調査結果を報告した。次は,その時の会話である。
- S主任:
- G君が受信したメールは,いわゆる標的型攻撃メールと呼ばれるものです。標的型攻撃メールとは,aの組織や個人を対象として,受信者のPCにマルウェアを送りつけ,情報を窃取することなどを目的とするメールであり,bの組織や個人を対象として送られるウイルスメールとは異なるものです。
- E課長:
- 最近は国内でも標的型攻撃メールに起因する情報漏えい事故が多数発生しており,大手企業や官公庁以外もターゲットになり得るので,営業部の従業員には十分に注意するよう言っていたのだが。
- S主任:
- 標的型攻撃メールでは,注意していたつもりでも,気付かずにマルウェア感染が起こります。また,受信者が疑いをもたないように,メールの差出人を公的機関などに詐称したり,メールの件名や内容を受信者の業務に関連したものに偽装したりするといった,cを利用します。
- E課長:
- G君が受信したメールを具体的に説明してくれるかな。
- S主任:
- メールの内容を図1に示します。この内容から,①受信者の疑いを低減させる手口や,受信者の動作を巧みに誘導する手口などが見受けられます。
S主任からの調査報告を受けたE課長は,G君に対して,このメールを受信した際の状況及び対応に関してヒアリングをした。また,Y社の情報セキュリティインシデント管理規程(以下,管理規程という)どおりには対応しなかった理由をG君に確認した。
E課長がまとめたヒアリング結果を図2に,Y社の管理規程を図3に示す。
次は,ヒアリング実施後のE課長とS主任との会話である。
- S主任:
- 標的型攻撃メールによるマルウェア感染を完全に防ぐことは難しいので,被害を最小化するためには,メールの添付ファイルを開封した後に従業員が適切な対応を取ることが重要になります。
- E課長:
- そうだね。③今回の初動対応における問題点は二つあったと思う。本来であれば,管理規程に基づき,疑わしい事象を発見した従業員は,dに報告をしなければならない。また,報告に当たっては,e報告することも重要だ。
- S主任:
- おっしゃるとおりです。今回の問題点を解決するには,規程やルールは単に策定しただけでは不十分であり,それらが順守されるようにf1,f2の2点を行うことが重要だと考えられます。
- E課長:
- 今回のような標的型攻撃メールなどへの対策に当たっては,従業員一人一人の情報セキュリティ意識を向上させる地道な活動が必要だと思う。まずは,④実際に攻撃を受けた場合にも一人一人が適切に対応できるかを定量的に測定し評価できるようにしていきたい。そのための全社的な取組みも情報システム部で実施してもらえないだろうか。
- S主任:
- 承知いたしました。検討し実施したいと思います。
設問1
〔受信したメール〕について,(1)~(4)に答えよ。(1) 本文中のa,bに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
a,b に関する解答群
- 海外
- 架空
- 官界
- 国内
- 大企業
- 中小企業
- 特定
- 不特定多数
- 民間
解答選択欄
- a:
- b:
解答
- a=キ
- b=ク
解説
標的型攻撃とは、不特定多数を攻撃対象とする従来の迷惑メール・ウイルスメールとは異なり、特定の企業・組織や個人にターゲットを定めて攻撃を仕掛ける行為です。
電子メールの差出人を取引企業や官公庁や知人など信頼性のある人に偽装し、さらに、受信者の興味を引く件名や本文を使用するなどの巧妙な誘導により、ウイルスを仕込んだ添付ファイルを開かせたり、ウイルスに感染させるWebサイトのリンクをクリックさせたりする手口などがこの攻撃に該当します。
標的型攻撃の対象は特定の組織や個人、無差別に送信されるウイルスメールの攻撃対象は不特定多数の組織や個人のため、a=特定、b=不特定多数 が適切です。
∴a=キ:特定
b=ク:不特定多数
電子メールの差出人を取引企業や官公庁や知人など信頼性のある人に偽装し、さらに、受信者の興味を引く件名や本文を使用するなどの巧妙な誘導により、ウイルスを仕込んだ添付ファイルを開かせたり、ウイルスに感染させるWebサイトのリンクをクリックさせたりする手口などがこの攻撃に該当します。
標的型攻撃の対象は特定の組織や個人、無差別に送信されるウイルスメールの攻撃対象は不特定多数の組織や個人のため、a=特定、b=不特定多数 が適切です。
∴a=キ:特定
b=ク:不特定多数
(2) 本文中のcに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
c に関する解答群
- AES
- ゼロデイ攻撃
- ソーシャルエンジニアリング
- トロイの木馬
- ヒヤリハット
- ブルートフォース攻撃
解答選択欄
- c:
解答
- c=ウ
解説
標的型攻撃メール攻撃では、メール受信者に正当なメールだと思い込ませ、メール内の添付ファイルやURLをクリックさせることが主な手口になります。攻撃者は、受信者に疑いを持たせずにウイルス感染へ誘導するためにメールの内容に様々な細工を行っています。
このように技術的な方法ではなく、人間の心理的な隙や弱みを悪用した攻撃を総称してソーシャルエンジニアリングといいます。
したがって「ウ」が正解です。
このように技術的な方法ではなく、人間の心理的な隙や弱みを悪用した攻撃を総称してソーシャルエンジニアリングといいます。
したがって「ウ」が正解です。
- Advanced Encryption Standardの略。アメリカ合衆国の次世代暗号方式として規格化された共通鍵暗号方式です。
- ゼロデイ攻撃は、あるOSやソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃のことを指します。
- 正しい。
- トロイの木馬は、一見通常の動作をしているように見せかけておいて、裏ではOSの設定変更,パスワードの窃盗,外部からの遠隔操作の踏み台になるなどの悪意のある動作を秘密裏に行うコンピュータウィルスです。
- ヒヤリハットは、重大な災害や事故には至らないものの、直結してもおかしくない一歩手前の事例です。重大な被害が発生したときには前触れとしてヒヤリハットが起こっている場合が多いため、ヒヤリハットを積極的に検出し、対策および情報共有することが災害を未然に防ぐことに繋がります。
- ブルートフォース攻撃は、パスワードクラックに用いられる手法の1つで、特定の文字数および文字種で設定される可能性のある組合せのすべてを試すことで不正ログインを試みる攻撃手法です。
(3) 本文中の下線①について,今回の攻撃者が使った手口として考えられるものを二つ,解答群の中から選べ。
解答群
- 製品を導入する方向で検討を進めているという趣旨を伝えた上で,質問の回答期限を指定することによって添付ファイルを開くよう誘導している。
- メールの本文にY社の従業員しか知リ得ない情報を記載することによって疑いを低減している。
- メールの本文に正当なURLを装ったリンクを記載した上で,そのURLリンクをクリックするよう指示し,誘導している。
- メールのやり取りを数回行うことによって疑いを低減している。
解答選択欄
解答
- ア
- エ
解説
- 正しい。本文中に「添付ファイルの質問内容をご確認の上、本日15時までにご回答いただけないでしょうか」という記述があり、すぐさま添付ファイルを開くように誘導しています。
- 誤り。メールの内容はY社内の内部情報などは記載されておらず、取引相手であれば十分に知り得る情報です。
- 誤り。本文中のURLのクリックを促す文面ではありません。攻撃者は添付ファイルのリンクをクリックさせることを目的としています。
- 正しい。図2「G君へのヒアリング結果」より、F氏から製品の問合せが3回あり、メールでやり取りしていたことがわかります。つまりこの攻撃メールは、何回か問題のないメールがやり取りが行われた後に送られたことがわかります。
(4) 本文中の下線②について,次の(ⅰ)~(ⅲ)のうち,G君が受信したメールに見られる特徴だけを全て挙げた組合せを,解答群の中から選べ。
- 差出人のメールアドレスがY社の社内メールアドレスに詐称されている。
- 差出人のメールアドレスと,本文の末尾に記載された署名のメールアドレスが異なる。
- 実行形式ファイルが添付されている。
解答群
- (ⅰ)
- (ⅰ),(ⅱ)
- (ⅰ),(ⅱ),(ⅲ)
- (ⅰ),(ⅲ)
- (ⅱ)
- (ⅱ),(ⅲ)
- (ⅲ)
解答選択欄
解答
- カ
解説
標的型攻撃メールには、詐称を見抜くための幾つかのポイントがあります。正しい知識を持って注意深くメールの内容を確認することで見抜くことが可能です。
- 誤り。メールヘッダに記述された「差出人:~」の部分を見ると、本来X社のメールアドレス(***@x-sha.co.jp)であるはずの差出人メールアドレスが「F@zz-freemail.co.jp」に詐称されていることがわかります。Y社のメールアドレスは「***@y-sha.co.jp」なので記述は誤りです。
社内メールを装った標的型攻撃メールでは社内のメールアドレスに詐称することがありますが、設問の事例では取引相手からのメールであることを演出するために社外のメールアドレスに詐称していると考えられます。 - 正しい。署名欄のメールアドレスが「F@x-sha.co.jp」であるのに対して、メールヘッダに記述されている差出人メールアドレスは「F@zz-freemail.co.jp」になっています。
- 正しい。添付されているファイルの名称は「質問事項.exe」となっています。拡張子が"exe"のファイルは実行可能なプログラムファイルです(exeは"execute"[実行]の意味)。悪意を持ったexeファイルをうっかり実行してしまうとコンピュータ上で不正な命令が実行されてウイルスに感染してしまうことになります。
また文書を添付ファイルで送る場合のファイル形式は、テキストファイル(.txt)、Wordファイル(.doc)、PDFファイル(.pdf)、Excelファイル(.xls)などが一般的であり、メールの添付ファイルとして実行ファイル(.exeや.bat)を送ることは通常ではないことです。このため拡張子が"exe"の添付ファイルはウイルスと見なし、安易に実行しないようにするべきです。
設問2
〔情報セキュリティ意識向上に向けて〕について,(1)~(5)に答えよ。(1) 本文中の下線③について,次の(ⅰ)~(ⅳ)のうち,今回の初動対応における問題点を二つ挙げた組合せを,解答群の中から選べ。
- PCの不具合に気付いても直ちに再インストールなどの復旧対応を行わなかった点
- 問合せ対応を行うに当たって,X社との最近の取引記録を確認しなかった点
- 不審な事象が起きたにもかかわらず,情報セキュリティリーダーに報告しなかった点
- 不審な事象が起きたにもかかわらず,マルウェアには感染していないと自己判断した点
解答群
- (ⅰ),(ⅱ)
- (ⅰ),(ⅲ)
- (ⅰ),(ⅳ)
- (ⅱ),(ⅲ)
- (ⅱ),(ⅳ)
- (ⅲ),(ⅳ)
解答選択欄
解答
- カ
解説
図2「G君へのヒアリング結果」を図3「管理規定」に照らして問題点を検証します。
- 誤り。管理規定には「従業員は,各自の判断で復旧対応や解決を試みるのではなく,必ず情報セキュリティリーダーの指示又は勧告に従うこと。」とあり、G君が自身の判断で再インストールなどの措置を行わなかったことは管理規定に沿った行動です。
- 誤り。「10日前から,製品の問合せが3回あり,メールでやり取りをしていた。」というように、G君はX社との取引内容を十分に認識していたと考えられます。
- 正しい。管理規定には「インシデントであるかどうか判断がつかない疑わしい事象も,自己判断せず同様に報告すること。」とあり、不審な事象を確認したにも関わらずG君が報告を行わなかったことは問題点に該当します。
- 正しい。(ⅲ)と同様に、G君が報告を行わず自己判断してしまったことは問題点に該当します。
(2) 本文中のdに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
d に関する解答群
- インシデントであると判断した後
- 原因調査後
- 再発防止策を検討した後
- 速やか
解答選択欄
- d:
解答
- d=エ
解説
管理規定には「従業員は,インシデントを発見した際には,速やかに情報セキュリティリーダーに報告し,その指示に従うこと。」という記載があります。疑わしい事象を発見した時は、何よりも先にセキュリティリーダーへの報告を行うことが適切な対応です。
∴d=エ:速やかに
∴d=エ:速やかに
(3) 本文中のeに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
e に関する解答群
- 誤った報告を行わないよう,事象をインターネットや書籍などで確認して,類似の事例が確認できたものを
- 判断に迷う事象であっても自己判断せずに
- 部内の同僚と相談してから,報告するように勧められた事象を
- 報告事項がそろうのを待って,レポートにまとめたものを
解答選択欄
- e:
解答
- e=イ
解説
報告に当たっての注意点ですが、管理規定には「インシデントであるかどうか判断がつかない疑わしい事象も,自己判断せず同様に報告すること。」とあり、疑わしい事象についても自身で判断をせずに速やかに報告することが求められます。
∴e=イ:判断に迷う事象であっても自己判断せずに
∴e=イ:判断に迷う事象であっても自己判断せずに
(4) 本文中のf1,f2に入れる,次の(ⅰ)~(ⅳ)の組合せはどれか。fに関する解答群のうち,最も適切なものを選べ。
- 管理規程の内容に関する従業員への周知
- 情報共有や報告が包み隠さず行われるような組織文化の醸成
- 情報セキュリティにおけるクラツキング手法の教育
- マルウェア感染時の迅速な復旧対応方法の指導
f に関する解答群
解答選択欄
- f:
解答
- f=ア
解説
f1,f2には、今回の初動対応の問題点を解決するために規定やルールを遵守させる施策が入ります。
- 正しい。G君へのヒアリング結果では「管理規程については,新入社員研修の際に一度見たことがある程度で,重要な規程とは思っていなかった。」とあり、規定やルールの周知が不十分であったことがわかります。この問題点を解決するためには管理規定の内容を周知させる施策が有効です。
- 正しい。G君へのヒアリング結果では「以前に他の部のH君が,顧客から貸与されたUSBメモリをPCに接続してマルウェア感染が起きたことを上司に報告した際に,上司から大変厳しく叱責されたとH君本人から聞いていたので,マルウェア感染と確信できない限りは,報告したくないと思っていた。」とあり、G君には上長への報告をためらう理由があったことがわかります。この問題点を解決するためには情報伝達がスムーズに行われる組織文化を育てる施策が有効です。
- 誤り。今回の攻撃はクラッキングではないため、問題点を解決する施策にはなりません。
- 誤り。今回の初動対応における問題点は報告が行われなかったことです。復旧方法が誤っていた訳ではないため、この施策は今回の問題点を解決するものにはなりません。
(5) 本文中の下線④について,E課長の提案に応える取組みはどれか。解答群のうち,最も適切なものを選べ。
解答群
- 標的型攻撃メールについて,従業員のPCがマルウェア感染しないために注意すべき事項を標語として作成して掲示する。
- 標的型攻撃メールへの対策を題材とするDVD上映会を年に2回開催し,従業員の出席率を確認する。
- 標的型攻撃メールを起因とするインシデントについて,他社で発生した事例を月に1回,イントラネット上の掲示板で紹介する。
- 模擬の標的型攻撃メールを従業員に期間を空けて何回か送付し,添付ファイル開封後の報告完了率,報告完了までに要した時間などの変化を調査する。
解答選択欄
解答
- エ
解説
E課長の提案とは、従業員のセキュリティ意識を評価する指標として、実際に攻撃を受けた場合にも適切に対応できるかを定量的に測定したいというものです。
選択肢のうち「実際に攻撃を受けた場合に」と「定量的に測定」を満たす取組みは「エ」のみです。
※定量的とは、数値などの具体的な量の変化で表すことです。
選択肢のうち「実際に攻撃を受けた場合に」と「定量的に測定」を満たす取組みは「エ」のみです。
※定量的とは、数値などの具体的な量の変化で表すことです。