【情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2 No.4】

情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2

【出典：情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2（一部、加工あり）】

[運用体制の組替え]
 試験期間が終了し、K社は、運用サービス及び監視サービスを正式に利用することにした。それらに加え、インシデント対応を円滑に行うために、被害状況の把握及び侵入経路の特定を行うP社のインシデント対応支援サービスも利用することにした。
 インシデント対応支援サービスの利用には、インシデントレスポンスチーム（以下、IRTという）の整備が前提となっている。M課長は、IRTの体制案をまとめ、経営層の承認を得た。IRTでは、通常時は、1名が通報窓口の要員として対応する。招集時は、情報システム課、営業所1、営業所2及び倉庫の従業員10名が参加する。
 M課長は、W主任にインシデント対応の流れを整理して、必要となる規程及び通報窓口の要員が社内から通報を受けるための通報専用メールアドレスを整備するように指示した。また、規程を整備する際は、インシデントの重大さ（以下、レベルという）を定義し、レベルに応じて対応に必要な体制が変わることに注意するように付け加えた。
 W主任は、レベルの判定の際に使用する基準の案を図5に、マルウェアによる情報漏えいを想定したインシデント対応の流れの案を図6にまとめ、M課長に提出した。M課長は、図5と図6の案を承認してIRTの活動を開始した。

[秘密ファイルの流出]
 IRTの体制が整った1週間後の9月29日、社内からの通報専用メールアドレス宛てにある従業員からメールが届いた。そのメールの内容は、”S社が提供するオンラインストレージサービスであるSサービスにおいて、K社の取扱商品の価格表（以下、ファイルNという）と思われるファイルが一般公開されていて、仕入原価も記載されていると9月26日に取引先から連絡があった”というものだった。メールを見た通報窓口の要員はIRT全員を招集して会議を開催しようとしたが、日程調整が難航し、開催できたのは10月4日だった。10月3日には、営業部門から、”顧客から、Sサービスで公開されているファイルについて苦情が来ているので対応を急いでほしい”と、M課長に抗議が来ていた。
 会議の中で、Sサービスで公開されているファイルが、秘密情報に該当するファイルNであることを確認した。ファイルNに含まれている商品の売上高は全社の売上高の5％であった。IRTでは、インシデント対応要と直ちに判断して、まずS社にファイルの公開停止を依頼した。続いて、P社に解析サービスを発注してPCのマルウェア感染の調査を依頼した。1時間後、P社から、”製品Cの記録を確認したが、マルウェアのものと思われるイベントは発見できていない”との報告があった。これらの状況を基にレベルの判定を行おうとしたが、”影響の広がり”の区分のどれにも該当しないので、とりあえず”軽微”と判定した。その後、インシデント対応支援サービスを利用して、ファイルNの公開の経緯の特定を依頼した。
 最初にP社は、K社のほかのファイルがSサービスで公開されていないかどうかを調査した。ファイルN以外に、価格表が幾つか公開されていたが、いずれも公開されても差し支えないものであった。これらは、アップロード日時からファイルNと同時にアップロードされたものだと推測できた。念の為、マルウェアα及びマルウェアβの再感染も調査したが、その形跡はなかった。その後、ファイルNが公開された経緯として可能性の高いものを四つ、表6に示すとおりに想定して順に調査した。

 P社が調査を進めた結果、想定1〜3の可能性は低いことが分かったので、想定4について調査を進めた。
 調査の中間報告のために、U氏がK社を訪問した。W主任はU氏に、図7で”詳細調査Bに進む”と判定されるのは、従業員がどのような操作をして、どのようなファイルをUSBメモリに書き込んだ場合が考えられるか聞いた。U氏は、従業員がファイルを書き込む際に、（k）という操作をして、ファイルNと同じ内容が含まれるものの、（l）及び（m）が異なるファイルへと変換した場合が考えられると答えた。

f：添付ファイルの名称、g：添付ファイルのサイズ

「メールサーバのログについて、（f）又は（g）が、ファイルNと一致するものを洗い出す。」
 想定1では、メールによりファイルNが攻撃者のメールアドレスに送信されていて、調査方法としてメールサーバのログからファイルNと一致するものを洗い出すとあります。
 ログについて探すと表1（ログの内容（抜粋））に記載がありました。

 この内容から、ファイルNと一致すものとしては「添付ファイルの名称」「添付ファイルのサイズ」が該当することが分かります。

h：サイズ、i：アップロードされたファイルのサイズ、j：アクセス先のURL

「プロキシサーバのログについて、ファイルNの（h）と、（i）が一致するものを洗い出し、その（j）が信頼できるサイトのものかどうかを確認する。」
 想定2では、HTTPによりファイルNが攻撃者のサーバにアップロードされていて、調査方法としてプロキシサーバのログからファイルNと一致するものを洗い出すとあります。
 ログについては、同じく表1（ログの内容（抜粋））から、ファイルNのサイズと、「アップロードされたファイルのサイズ」が一致しているものが該当します。
 また、信頼できるサイトのものかどうかを確認するとあり、ログでは「アクセス先のURL」が該当することが分かります。

k：ファイルの圧縮、l：ファイル名、m：ファイルサイズ

「W主任はU氏に、図7で”詳細調査Bに進む”と判定されるのは、従業員がどのような操作をして、どのようなファイルをUSBメモリに書き込んだ場合が考えられるか聞いた。U氏は、従業員がファイルを書き込む際に、（k）という操作をして、ファイルNと同じ内容が含まれるものの、（l）及び（m）が異なるファイルへと変換した場合が考えられると答えた。」
 図7（想定4の調査訓練）で詳細調査Bに進むには、「USBメモリへの、ファイル名又はファイルサイズがファイルNと一致するファイルの書込み記録を洗い出す。」が記録なしであり、「ファイル名又はファイルサイズがファイルNと一致するファイルの読出し記録を洗い出す。」が記録あり、さらに「ファイルを開いてから1時間以内の、USBメモリへのファイルの書込み記録を洗い出す。」が記録ありとなっています。
 この流れと、「ファイルNと同じ内容が含まれるものの、（l）及び（m）が異なるファイルへと変換した場合」という説明から、ファイルの圧縮であることが想像できるでしょう。
 圧縮によりファイル名及びファイルサイズが異なりますが、元のファイルと同じ内容が含まれます。