【情報処理安全確保支援士試験 令和5年度 秋期 午後 問4 No.2】
情報処理安全確保支援士試験 令和5年度 秋期 午後 問4
【出典:情報処理安全確保支援士試験 令和5年度 秋期 午後 問4(一部、加工あり)】
あ(本文に示した状況設定に沿う範囲で、あなたの知見に基づき、答えよ。):①G百貨店からW社への連絡を装った電子メールに未知のマルウェアを添付して、配送管理課員宛てに送付する。/②配送管理課員がよく閲覧するWebサイトにおいて、脆弱性を悪用するなどして、配送管理課員が閲覧した時に、未知のマルウェアを別のWebサイトからダウンロードさせるようにWebページを改ざんする。/③W社からアクセスすると未知のマルウェアをダウンロードする仕組みのWebページを用意した上で、そのURLリンクを記載した電子メールを、G百貨店からW社への連絡を装って送信する。
”あなたの知見に基づき”とありますが、問題文からヒントになるような記述を見つけ、そこから解答を導きます。
リスク源が「W社以外の第三者」、行為又は事象の分類が「W社へのサイバー攻撃」であり、リスク番号2-1の「Sサービスの偽サイトを作った上で、偽サイトに誘導するフィッシングメールを、配送管理課員宛てに送信する。」、リスク番号2-2の「W社のPC又はサーバの脆弱性を悪用し、インターネット上のPCからW社のPC又はサーバを不正に操作する。」とは違う内容を考えます。
外部からの攻撃については、上記のフィッシング、不正操作の他に、マルウェアの感染が挙げられるでしょう。
マルウェアに対するW社の現状の対策については、表2の項番2に「全てのPCとサーバに、パターンマッチング型のマルウェア対策ソフトを導入している。」とあります。
パターンマッチング型は既知のマルウェアには有効ですが未知のマルウェアは検知できないため、この未知のマルウェアに感染させる内容でまとめると良さそうです。
マルウェアの感染経路としては、メールのリンク誘導や添付ファイル、Webからのダウンロードなどがあります。
い(「あ」の内容に基づき、答えよ。):①配送管理課員が、添付ファイルを開き、配送管理用PCが未知のマルウェアに感染した結果、IDとPWを周知するメールが読み取られ、SサービスのIDとPWが窃取される。そのIDとPWが利用されて、W社外からSサービスにログインされて、Z情報が漏えいする。/②配送管理課員が、改ざんされたWebページを閲覧した結果、マルウェアをダウンロードしてPCがマルウェアに感染する。マルウェアがキー入力を監視して、配送管理課員がSサービスにアクセスした際にIDとPWが窃取される。そのIDとPWが利用されて、W社外からSサービスにログインされ、Z情報がW社外のPCなどに保存される。/③配送管理課員が、電子メール内のURLリンクをクリックすると、配送管理用PCが未知のマルウェアに感染する。PC内に残っていたZ情報を一括出力したファイルが、マルウェアによって攻撃者の用意したサーバに送信され、Z情報が漏えいする。
「あ」に対する「Z情報の機密性への影響に至る経緯」です。
「あ」の内容を他のリスクに倣って、より具体的に記述します。
ここでは、未知のマルウェアの種類によって、いくつかのパターンが考えられるでしょう。
- メールの内容を読み取るマルウェア:IDとPWを周知するメールが読み取られ、外部に送信される。
- キー入力を読み取るマルウェア:Sサービスにアクセスする際のIDとPWを読み取られ、外部に送信される。
- デバイスにあるファイルを外部に送信するマルウェア:Z情報が外部に送信される。
う(「あ」の内容に基づき、表2中から該当する番号を全て選び、数字で答えよ。該当する項番がない場合は、”なし”と答えよ。):①2,3,5,6,9,12/②2,3,6/③2,3,5,6,9,10
「あ」に対する「情報セキュリティの状況」です。
表2の各項目で、該当しそうなものを以下に示します。
- 項番2(マルウェア対策ソフト):①②③
- 項番3(脆弱性):①②③
- 項番5(メールの添付ファイル):①③
- 項番6(プロキシサーバ):①②③
- 項番9(訓練):①③
- 項番10(情報セキュリティ研修):③
- 項番12(ID、PWの周知):①
え(「あ」の内容に基づき、大・中・小のいずれかの文字で示せ。):①大/②大/③大
「あ」に対する「被害の大きさ」です。
図3の2.⑵の被害の大きさですが、今回のリスクはZ情報全ての漏えいに関わることなので、「大:ほぼ全てのZ情報について、機密性が確保できない。」が該当します。
お(「あ」の内容に基づき、高・中・低のいずれかの文字で示せ。):①高/②低/③高
「あ」に対する「発生頻度」です。
図3の2.⑶の発生頻度ですが、主観的に考えるとばらつきがありそうですが、他のリスクでは全て「低」となっており、それに倣うと同じ「低」でも良さそうです。
ただし、昨今、流行っているマルウェア感染の事象によっては、①の添付ファイルや③のメールのURLリンクなどは発生頻度としては「高」とも捉えることができそうです。
か(「あ」の内容に基づき、A・B・C・Dのいずれかの文字で示せ):①A/②C/③A
「あ」に対する「総合評価」です。
被害の大きさと、発生頻度の組み合わせで、総合評価を表3より導きます。
き(「あ」の内容に基づき、答えよ。):①配送管理用PCにEDRを導入し、不審な動作が起きていないかを監視する。/②プロキシサーバのURLフィルタリング機能の設定を変更して、配送管理用PCからアクセスできるURLを必要なものだけにする。/③全てのPCとサーバに、振舞い検知型又はアノマリ検知型のマルウェア対策ソフトを導入する。
「あ」に対する「管理策」です。
①と③の未知のマルウェアに対する管理策としては、EDR(Endpoint Detection and Response)、振舞い検知型やアノマリ検知型のマルウェア対策ソフトを挙げることができます。
また、改ざんされたWebページへのアクセスに対する管理策としては、配送管理用PCからのアクセスは必要最低限とするようプロキシサーバのURLフィルタリング機能を適用することがあります。