ランサムウェアへの対策【情報処理安全確保支援士試験 平成29年度 秋期 午後1 問1 設問1】
平成29年度 秋期 情報処理安全確保支援士試験 午後1 問1
問1 ランサムウェアへの対策に関する次の記述を読んで、設問1〜4に答えよ。
B社は、従業員数300名の建築資材販売会社であり、本社、営業店10か所の他に倉庫がある。本社、各営業店及び倉庫のネットワークはIP-VPNで接続されており、インターネットとの接続は本社に集約されている。本社と営業店では、それぞれ、本社用PCと営業用PCから情報共有サーバ(以下、Gサーバという)を利用し、 Windowsのファイル共有機能を使って資料を共有している。本社用PC及び営業用PCでは、一般利用者権限でログオンすると、自動的にGサーバへもその権限でログオンされ、Gサーバ上の共有フォルダが各PCのGドライブとして自動的に割り当てられる。Gサーバ上の共有フォルダの利用者データ、本社用PCの利用者データ及び営業用PCの利用者データは、それぞれ、各コンピュータのローカルディスク上に設けられた一般利用者権限ではアクセスできない領域に1時間に1回、毎時0分に開始されるジョブによって、バックアップされる。ジョブのログには、バックアップの開始と終了の時刻、総ファイル数、ジョブ実行結果などが記録される。
B社は、販売及び在庫管理を行うソフトウェアを独自に開発し利用している。受注から出荷までの業務を管理するWebアプリケーションソフトウェア(以下、業務APという)は、販売及び在庫管理用のWindowsサーバ(以下、Dサーバという)上で稼働している。B社の全てのPCは、ログオン時に、Dサーバへも一般利用者権限で自動的にログオンされ、Dサーバ上の共有フォルダが、Windowsのファイル共有機能を使って各PCのDドライブとして自動的に割り当てられる。出荷業務は、倉庫に設置された作業用PCに、無線ハンディターミナル(以下、HTという)を接続して行う。各PCで用いるB社のWindowsアプリケーション(以下、Aアプリという)は、業務APにHTTP over TLSで接続する機能、及び出荷指示情報が記載されたファイル(以下、出荷指示ファイルという)を読み書きする機能をもっている。
B社のシステム構成を図1に、受注から出荷までの業務の流れを図2に示す。
〔セキュリティインシデントの発生〕
ある日の9:50に、出荷担当者のVさんから、ITシステム担当者のL君にAアプリの障害の連絡が入った。L君がDサーバ上の共有フォルダを確認したところ、出荷指示ファイルが破損しており、Aアプリで読込みエラーが発生していた。L君は、原因究明よりも、業務の再開を優先するため、業務APの管理機能を使って出荷指示ファイルを再出力して復旧させた。このとき、L君は、①破損した出荷指示ファイルを削除せず、別のフォルダに移動しておいた。後に、このファイルが、調査に役立った。
復旧させた直後、10:30に、営業担当のSさんからL君に、暗号化されたファイルを取り戻したければ手順に従うよう指示する脅迫文が、営業用PC05のデスクトップ画面に表示されているという連絡が入った。また、営業用PC05で一部のファイルを開くことができなくなっていた。L君は、営業用PC05がマルウェアに感染したと判断し、営業用PC05をネットワークから切り離すようSさんに指示した。
L君は、Dサーバの出荷指示ファイルも営業用PC05と同じように開くことができなくなっていたことから、Dサーバも同じマルウェアに感染した可能性があると考え、一連の事象を上司に報告した。上司と相談した結果、業務を一時停止し、Dサーバをネットワークから切り離し、従業員に注意喚起をした後、セキュリティ専門会社U社のJ氏に協力を依頼して、調査を行うことにした。
〔セキュリティインシデントの調査〕
L君とJ氏は、感染経路と影響範囲を特定するために、営業用PC05とDサーバからログファイルやメモリダンプなどを収集して、表1のタイムラインを作成した。
【出典:情報処理安全確保支援士試験 平成29年度秋期午後1問1(一部、加工あり)】
①破損した出荷指示ファイル について、タイムラインを作成する際に用いたタイムスタンプ情報は?:更新日時
表1のタイムラインには時刻、事象、対象機器が記載されており、ファイルのタイムスタンプ情報に関しては、No.7やNo.8でファイルが暗号化された時刻が記載されています。
Dサーバ上の破損した出荷指示ファイルについては、No.8の「9:11 出荷指示_01_00001.csvファイルが暗号化された」が該当しそうです。
この「9:11」というのはファイルの更新日時を基にしたもので、この時間に暗号化されたものと判断していることになります。