情報セキュリティマネジメント【H29春午後問1設問1（1）】

マルウェア感染への対応

出題趣旨には、以下のように記述されています。

　近年、ランサムウェアによる被害が日本国内でも広がっている。ランサムウェアへの組織における対策としては、適切なバックアップによって感染時の被害に備えること、リストア （リカバリ）手段を確認しておくこと、及びバックアップ自体をランサムウェアから保護する対策を講じることが重要である。また、組織内の重要な情報資産の特定とその資産についてのリスク評価を定期的に実施しておくこと、及びランサムウェア感染時の対応をあらかじめ検討しておくことも重要である。

　本問では、ランサムウェアの感染という情報セキュリティインシデントを事例として、情報セキュリティリーダに求められる対応能力と、管理、技術の両面から情報セキュリティの改善方法を検討する能力を問う。

それでは、設問１からはじめていきましょう。

設問１

該当箇所は、以下になります。

S係長によると、状況から見て（a）と呼ばれる種類のマルウェアに感染した可能性が高く、①この種類のマルウェアがもつ二つの特徴が現れているとのことであった。

（a）によっては、暗号化されたデータを復号できるツールがウィルス対策ソフトベンダなどから提供されている場合もあるが、今回のマルウェアに対応しているツールはない。また、（a）によっては、OSの機能を用いると暗号化される前のデータがOSの復元領域から復元できる場合もあるが、今回のマルウェアは、OSの復元領域を削除していた。

マルウェア感染の判断となった挙動の特徴について、問題文を探すと以下の説明があります。

• 「・・・メールの添付ファイルをクリックしたという。ところが、その後、画面に見慣れないメッセージが表示され、B-PCの中のファイルや、Bさんの個人フォルダ内のファイルの拡張子が変更されてしまい、普段利用しているソフトウェアで開くことができなくなったという。」
• 「A課長がQ営業所に到着してB-PCを確認したところ、画面にはファイルを復元するための金銭を要求するメッセージと、支払の手順が表示されていた。」

これらの特徴からこのマルウェアは「ランサムウェア」と分かります。

S係長によると、状況から見てランサムウェアと呼ばれる種類のマルウェアに感染した可能性が高く、①この種類のマルウェアがもつ二つの特徴が現れているとのことであった。

ランサムウェアによっては、暗号化されたデータを復号できるツールがウィルス対策ソフトベンダなどから提供されている場合もあるが、今回のマルウェアに対応しているツールはない。また、ランサムウェアによっては、OSの機能を用いると暗号化される前のデータがOSの復元領域から復元できる場合もあるが、今回のマルウェアは、OSの復元領域を削除していた。

解答群のその他の項目についての特徴を以下に示します。

• アドウェア：ユーザが意図しない広告を画面などに表示するソフトウェアで、フリーソフトウェアのインストール時などに同時に実装される場合が多い
•  キーロガー：コンピュータのキーボード操作を常時監視して記録する装置、ソフトウェアで、攻撃者により悪用され秘密情報を盗み取られる
• ダウンローダ：攻撃者が用意した不正なWebサーバなどから、ウィルスなどのプログラムを勝手にダウンロードして実行する
• ドロッパ：トロイの木馬の一つで、内部にもつウィルスプログラムをコンピュータに仕込む
• ルートキット：攻撃者が不正に組み込んだプログラムなどを隠蔽する機能をまとめたツール
• ワーム：コンピュータに侵入して、自身の複製をネットワークや電子メール経由で他のコンピュータに拡散する性質をもつマルウェア