【情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2 No.3】

情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2

【出典：情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2（一部、加工あり）】

[社外とのやり取り]
T社ネットワークからIRMサーバにアクセスするには、IRMサーバをR社のDMZに設置し、インターネットからアクセス可能にする必要がある。Z主任は、IRMサーバをDMZに設置した場合のリスクと対策を表3のとおりまとめた。

IRM-Lの運用について情報システム部で検討した結果、ここまで検討した対策を全て採用した場合でも、③PCがマルウェアに感染してしまうと、設計秘密の内容を不正に取得されてしまう場合があることが分かった。そこで、マルウェア対策の強化も導入計画に盛り込んだ上で、IRM-Lの導入を進めることにした。その後、IRM-Lを導入し、設計秘密に対する情報漏えい対策を強化することができた。

下線③について、どのような動作をするマルウェアに感染すると不正に取得されるか。不正取得時のマルウェアの動作を45字以内で具体的に述べよ。：利用者がファイルを開いたとき、画面をキャプチャし、攻撃者に送信する動作

「IRM-Lの運用について情報システム部で検討した結果、ここまで検討した対策を全て採用した場合でも、③PCがマルウェアに感染してしまうと、設計秘密の内容を不正に取得されてしまう場合があることが分かった。」
設計秘密のファイルはファイルサーバに格納されていて、ファイルへのアクセスはIRM-Lによって厳重に制限されているため、不正に取得するのは難しいと思われます。
設計秘密の内容が取得できてしまうタイミングについて、当該ファイルが最もアクセスしやすい状態を考慮し確認していきます。
すると、図1（IRM-Lの概要）の「5.保護されたファイルを開くときの処理」に「（ⅴ）IRMクライアントでは、コンテンツ鍵で対象ファイルが復号される。」「（ⅵ）復号されたファイルに対しては、参照又は編集後に再びファイル暗号化の処理が行われる。」とあることから、ファイルが復号された状態でPC上の画面に表示されている状態が最も不正に設計秘密にアクセスしやすい状態になっていそうです。
このタイミングでマルウェアによって画面をキャプチャして、インターネット上の攻撃者に送信する手口が考えられます。
画面に表示されたファイルをキャプチャすることや、当該キャプチャデータをインターネット上に送信する動作は、IRM-Lで検知することは出来なさそうですので、マルウェア対策の強化も必要になってくるということでしょう。