ランサムウェアへの対策【情報処理安全確保支援士試験 平成29年度 秋期 午後1 問1 設問4】

平成29年度 秋期 情報処理安全確保支援士試験 午後1 問1

問1 ランサムウェアへの対策に関する次の記述を読んで、設問1〜4に答えよ。

 B社は、従業員数300名の建築資材販売会社であり、本社、営業店10か所の他に倉庫がある。本社、各営業店及び倉庫のネットワークはIP-VPNで接続されており、インターネットとの接続は本社に集約されている。本社と営業店では、それぞれ、本社用PCと営業用PCから情報共有サーバ(以下、Gサーバという)を利用し、 Windowsのファイル共有機能を使って資料を共有している。本社用PC及び営業用PCでは、一般利用者権限でログオンすると、自動的にGサーバへもその権限でログオンされ、Gサーバ上の共有フォルダが各PCのGドライブとして自動的に割り当てられる。Gサーバ上の共有フォルダの利用者データ、本社用PCの利用者データ及び営業用PCの利用者データは、それぞれ、各コンピュータのローカルディスク上に設けられた一般利用者権限ではアクセスできない領域に1時間に1回、毎時0分に開始されるジョブによって、バックアップされる。ジョブのログには、バックアップの開始と終了の時刻、総ファイル数、ジョブ実行結果などが記録される。

(略)

f:id:aolaniengineer:20200305164255p:plain

(略)

 次は、マルウェアに関する、L君とJ氏の会話である。

L君:営業用PC05が感染したマルウェアはどのようなものなのでしょうか。

J氏:今回のマルウェアは、ランサムウェアXと呼ばれるものです。ランサムウェアXは、アクセス可能なドライブをドライブレターのアルファベット順に探し、見つけたドライブ内のファイルを暗号化して上書き保存します。内蔵ドライブ、外付けドライブ、ネットワークドライブが対象です。暗号化の対象となるファイルは、文書ファイルなど約60種類の拡張子をもつファイルです。対象となるファイルを全て暗号化した後で、脅迫文を画面に表示します。

L君:ファイルが暗号化されていたので、Aアプリで読込みエラーが発生したわけですね。しかし、Dサーバは、どのようにして感染したのでしょうか。

J氏:ランサムウェアXによって、Dサーバ上のファイルが暗号化されたと考えられますが、Dサーバ自体が感染した形跡はありません。

L君:Gサーバ上のファイルへの影響はどうでしょうか。

J氏:Dサーバ上のファイルの暗号化が完了した後で、Gサーバ上のファイルを暗号化している可能性があるので調査が必要です。

 Gサーバを調査したところ、共有フォルダのファイルが暗号化されていることが分かった。しかし、Gサーバ上に取得しているバックアップデータを使って、ファイルを復元することができたので、大きな影響はなかった。

(略)

 数日後、J氏から、OSの新たな脆弱性を悪用する新たなランサムウェアYが発見されたので、至急、セキュリティパッチPを適用した方がよいという連絡があった。L君が確認したところ、B社のサーバとPCに影響する脆弱性であることが分かった。ランサムウェアYは、⑥ファイルを暗号化するとともに、他のサーバやPCのOSの脆弱性を悪用し、管理者権限で次々と感染を広めるとのことであった。

 L君は、ランサムウェアYに対処するために、全てのサーバとPCにセキュリティパッチPを適用するとともに、セキュリティパッチ適用に関する運用の見直しを検討することにした。

【出典:情報処理安全確保支援士試験 平成29年度秋期午後1問1(一部、加工あり)】

⑥について、セキュリティパッチPを適用せずに放置した場合、営業用PCがランサムウェアYに感染すると、他のサーバやPCに感染が広がり、甚大な被害が生じるおそれがある。Gサーバにおいて、ランサムウェアXでは起きないが、ランサムウェアYでは起きる被害を述べよ。:共有フォルダのバックアップデータも暗号化されてしまい復元できなくなる。

ランサムウェアYは、「ファイルを暗号化するとともに、他のサーバやPCのOSの脆弱性を悪用し、管理者権限で次々と感染を広める」とのことです。

一方のランサムウェアXは、「ランサムウェアXは、アクセス可能なドライブをドライブレターのアルファベット順に探し、見つけたドライブ内のファイルを暗号化して上書き保存します。」「ランサムウェアXによって、Dサーバ上のファイルが暗号化されたと考えられますが、Dサーバ自体が感染した形跡はありません。」ということで、感染したPCの利用者権限でアクセス可能な共有フォルダ内のファイルのみが暗号化され、ランサムウェア自体がネットワーク経由で感染を広めることはなさそうです。

PCがランサムウェアYに感染すると、ネットワーク経由でGサーバ自体が感染し、サーバ上のバックアップデータを含むすべてのファイルが暗号化されてしまう可能性があります。

Follow me!