平成30年春期試験午後問題 問1

問1 情報セキュリティ

⇱問題PDF
マルウェア感染への対応に関する次の記述を読んで,設問1~4に答えよ。
 J社は,従業員が100名の商社であり,各種工業製品用の部品・材料を取り扱っている。
 J社のPCは,情報システム課で管理しており,業務に必要なソフトウェアをあらかじめインストールして各部署に配布し,社内LANに接続している。
 コンピュータウイルスなどのマルウェアの感染を防ぐために,自社の情報セキュリティ規程に沿って,PCとサーバにウイルス対策ソフトを導入し,最新のウイルス定義ファイルとセキュリティパッチを自動的に適用している。サーバ上のファイルは,社内LAN上の共有ディスク装置に定期的にバックアップされている。
 また,社内LANに接続されたPCからインターネット上のWebサイトを閲覧するときに,業務上閲覧することが不適切なWebサイトへの接続を制限するaを導入している。

〔モバイルPCの運用〕
 J社には社内でだけ利用するPCの他に,営業課員が社外での営業活動時に携行するモバイルPCが用意され,社内では無線LANによって社内LANに自動的に接続できる。モバイルPCは,利用時以外は所定のキャビネットにおいて施錠管理されている。
 モバイルPCには,OSと,業務に必要なソフトウェアだけがインストールされている。外出先で利用する文書ファイルなどは,モバイルPCの持出し時に営業課員が社内のファイルサーバからコピーする。また,モバイルPC利用後は,モバイルPC上にユーザがコピーした又は作成したファイル(以下,ユーザ作成ファイルという)を全て削除してから,所定のキャビネットに返却する。

〔モバイルPCのマルウェア感染〕
 ある日,営業課のK君は,取引先での営業活動のために,ファイルサーバから新製品の提案書をモバイルPCにコピーして外出した。外出中に当該モバイルPCで営業日報を作成して,その日は帰宅した。翌日出社し,別の取引先を訪問するために営業情報をファイルサーバからコピーしようと当該モバイルPCを起動したところ,金銭の支払を要求する警告メッセーシが表示された。当該モバイルPC上のファイルを確認すると,新製品の提案書と営業日報のファイル名の拡張子が特定の文字列に変更されていた。その拡張子を変更前のものに戻してからファイルを開いても,内容は文字化けして,判読できなかった。
 K君は,直ちに上司を通じて,情報システム課のY課長にこの状況を報告した。Y課長は取り急ぎ,当該モバイルPC本体の無線LAN機能を停止させて社内LANから切断し,当該モバイルPCにはそれ以上触らず,そのままにしておくようK君に指示した。Y課長は,報告を受けた状況から見てb型のcに感染した可能性が高いと判断し,部下で情報セキュリティ担当のS主任に状況の確認と対策の検討を指示した。

〔情報セキュリティ担当者による状況の確認〕
 S主任は,K君から当該モバイルPCの直近の利用状況を聞き取った。
S主任:
このモバイルPCの利用状況について教えてください。
K君:
昨日,営業で訪問した取引先の会議室において,当社が取扱いを始めた新製品のプレゼンテーションに利用しました。取引先では,インターネットを含めネットワーク接続をしていません。その時は特に異常はありませんでした。取引先を出た時には終業時刻を過ぎていたので,そのまま自宅に帰るつもりでした。営業日報だけ当日中に作成しようと,途中で最寄り駅近くの喫茶店に立ち寄って,このモバイルPCを利用しました。喫茶店では公衆無線LANでインターネットに接続し,営業日報を電子メール(以下,メールという)で上司に送信しました。
S主任:
何か他に利用しましたか。
K君:
営業日報のメール送信後に,取引先で質問された情報を調べようとWebサイトを検索していたところ,突然警告メッセージのような画面が表示されました。Webサイトを閲覧中に時々表示される詐欺まがいの広告の類いだろうと思い,メッセージはよく読まずにすぐWebフラウザを閉じてモバイルPCをシャットダウンしました。今日,別の取引先との商談に,引き続きこのモバイルPCを利用する予定でしたので,必要なファイルを追加でコピーしようとして,今回の事象に遭遇しました。
 S主任はK君への聞き取りから,今回のマルウェアはインターネット上のWebサイトから,dによって当該モバイルPCに感染したものと推測した。
 一方,S主任は,今日,K君が当該モバイルPCを社内LANに接続した時刻以降,社内のネットワークから外部への不審な通信が行われていないこと,①社内の他のPCやサーバに感染被害が拡大していないことを確認した。このことから,S主任は,今回の被害の影響範囲はK君が利用した当該モバイルPCだけに限られると判断した。
 また,S主任は,当該モバイルPC上で変更されたファイル名の拡張子の文字列から,最近報告されたマルウェアの疑いが強いこと,当該マルウェアは最新のウイルス定義ファイルで駆除できることを確認した。S主任は,今回の一連の状況及び調査結果をまとめ,Y課長に報告した。

〔モバイルPCのセキュリティ管理上の問題点〕
 モバイルPCには,社内のPCと同じウイルス対策ソフトが導入されている。しかし,ウイルス定義ファイルは,社内LAN接続中に手動又は不特定の時刻に自動で更新される仕様なので,モバイルPCの利用時にウイルス定義ファイルが最新になっていない可能性がある。
 J社の情報セキュリティ規程では,モバイルPCの利用時には,セキュリティパッチとウイルス定義ファイルを最新のものに更新するよう定めていた。しかし,今回,K君はウイルス定義ファイルが最新になっていることの確認を怠ってしまった。
 その後,J社では,モバイルPCの利用に関する情報セキュリティ規程を遵守させるために,モバイルPCの持出し時の手順にチェックリストによる点検を新たに追加した。

〔マルウェアに感染した場合に備えた対策の検討〕
 Y課長は,S主任からの報告を受け,今回のようなマルウェアがモバイルPCだけでなく,社内のPCに感染した場合にも備える必要があると感じた。マルウェア感染の被害を最小限にとどめる対策として,社内のPC上のファイルのバックアップについて,S主任に検討を指示した。
 S主任は,PC上のユーザ作成ファイルは当該PCには保存せず,ファイルサーバに保存するよう情報セキュリティ規程を改定し,さらに②ファイルサーバ上のファイルのバックアップについても,マルウェアに感染した場合に備えた対策を講じるための検討に着手した

設問1

本文中のadに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c,d に関する解答群
  • URLフィルタリング
  • スパイウェア
  • スパム対策
  • 端末ロック
  • ドライブバイダウンロード
  • トロイの木馬
  • 標的型攻撃
  • ファイル暗号化
  • フィッシング
  • 水飲み場型攻撃
  • ランサムウェア

解答例・解答の要点

a:
b:
c:
d:

解説

aについて〕
「不適切なWebサイトへの接続を制限する」という記述からURLフィルタリングとわかります。
URLフィルタリングは、URLを基準にしてアクセスするWebサイト・Webページを制限するセキュリティ対策です。青少年や組織の従業員のインターネット利用に際し、利用できるサイトを特定のドメインのみに制限したり危険なサイトへのアクセスを制限したりするために使用されます。

a=ア:URLフィルタリング

bcについて〕]
他人のコンピュータのデータを勝手に暗号化することで正常にアクセスできない状態にし、元に戻すために金銭の支払いを要求するマルウェアはランサムウェアと呼ばれます。ランサム(ransom)とは身代金の意味です。
マルウェアに感染したモバイルPC上のファイルは、ファイルの拡張子を元に戻しても内容の文字化けにより、利用できないようになっていたと説明されています。つまり、拡張子が勝手に変更されるだけでなく、ファイルの内容が暗号化によって変更されてしまっていたということです。以上より、このランサムウェアはファイルを暗号化することでコンピュータの利用をできなくさせるタイプであると判断できます。

b=ク:ファイル暗号化
 c=サ:ランサムウェア

dについて〕
モバイルPCがマルウェアに感染したのは、取引先で質問された情報を調べようとWebサイトを検索していたときと推察できます。これは、Webサイトの閲覧中に「突然警告メッセージが表示された」という説明、及び、社外への持出しからマルウェアの感染が発覚するまでにモバイルPCがインターネットに接続されたのは、このときしかないという事実から判断できます。K君は、自分でソフトウェアをダウンロードしませんが、モバイルPCの脆弱性を突いて、悪意のあるWebサイトへの接続を契機にマルウェアが秘密裏にダウンロードされたと考えられます。このように、Webサイトにマルウェアを仕込んでおき、アクセスした利用者に気付かれないように、それらのダウンロードや自動実行をさせる攻撃をドライブバイダウンロードといいます。
pm01_1.gif
d=オ:ドライブバイダウンロード

設問2

本文中の下線①について,マルウェアの感染被害が拡大していないことを,どのような方法で確認したのか。40字以内で述べよ。

解答例・解答の要点

特定の文字列に変更された拡張子のファイルが他のPCやサーバにないこと (34文字)
最新のウイルス定義ファイルで,当該マルウェアが他に検出されないこと (33文字)
他のPCやサーバでマルウェアによる警告メッセージが表示されないこと (33文字)

解説

K君が感染したマルウェアによる動作は、以下の2点です。
  1. 金銭の支払を要求する警告メッセージが表示された。
  2. ファイルの拡張子が特定の文字列に変更されていた。
つまり、他のPCが同種のランサムウェアに感染しているかどうかは上記の2点を確認すればよいことになります。また、もし当該マルウェアの情報が既に最新のウイルス定義ファイルに含まれているならば、最新のウイルス定義ファイルを用いてコンピュータをスキャンすることでも感染の有無を確認できます。

解答例では、上記の方法のうちいずれかを記述していれば適切な回答となるようです。

∴特定の文字列に変更された拡張子のファイルが他のPCやサーバにないこと
 最新のウイルス定義ファイルで,当該マルウェアが他に検出されないこと
 他のPCやサーバでマルウェアによる警告メッセージが表示されないこと
 

設問3

〔モバイルPCのセキュリティ管理上の問題点〕について,(1),(2)に答えよ。
  • モバイルPCのウイルス定義ファイル更新を確認する観点から,持出し時に確認すべき事項を30字以内で述べよ。
  • モバイルPCのマルウェア感染の対策として,適切でないものはどれか。解答群の中から選び,記号で答えよ。
解答群
  • 情報セキュリティ規程の遵守を徹底するよう,従業員を再教育する。
  • モバイルPCのウイルス対策ソフトを,インターネットからも直接,ウイルス定義ファイルを更新できる仕様の製品に切り替える。
  • モバイルPCは社内LANに一切接続せず,必要なファイルのコピーはUSBメモリなど可搬性がある記憶媒体を介して行う。
  • モバイルPCを,SIMカードによるデータ通信対応の端末に切り替え,公衆無線LANの利用は禁止する。

解答例・解答の要点

  • ウイルス定義ファイルのバージョンが最新であること (24文字)
    ウイルス定義ファイルの更新日時が最新であること (23文字)
    社内LANに接続し,手動でウイルス定義ファイルを更新したこと (30文字)


解説

  • 〔モバイルPCのセキュリティ管理上の問題点〕には以下の記述があります。

    「J社の情報セキュリティ規程では,モバイルPCの利用時には,セキュリティパッチとウイルス定義ファイルを最新のものに更新するよう定めていた。しかし,今回,K君はウイルス定義ファイルが最新になっていることの確認を怠ってしまった。」

    規定で定められているウイルス定義ファイルの更新作業と確認を怠ったことが問題になっています。ここで、今回の事案についてはセキュリティパッチについては確認済ということになっていますので、モバイルPCの利用時に確認すべき事項は、「ウイルス定義ファイルを最新のものに更新したこと」および、自動更新の後ならば「ウイルス定義ファイルが最新版になっていること」などになります。

    ∴ウイルス定義ファイルのバージョンが最新であること
     ウイルス定義ファイルの更新日時が最新であること
     社内LANに接続し,手動でウイルス定義ファイルを更新したこと
    • 今回の事例では、規定を遵守していなかったことが直接的原因の1つであるため、社員の再教育は規定の遵守を徹底させるために有効な施策です。
    • モバイルPCがインターネットに接続した時点で、自動的に最新のウイルス定義ファイルに更新するようになれば、適用漏れを防げます。
    • 正解です。USB経由でマルウェアに感染することや、この事例のようにインターネット経由でマルウェアに感染することを防げません。
    • 公衆無線LANアクセスポイントの中には悪意を持って設置されているものも存在します。これらに接続すると悪意のあるWebサイトに誘導されるなどして、マルウェアやフィッシングの被害に遭う可能性があります。このため公衆無線LANの使用禁止は、マルウェア感染のリスクを低減させることに繋がります。

      ∴ウ

設問4

本文中の下線②について,(1),(2)に答えよ。
  • S主任が,検討に着手したファイルサーバ上のファイルのバックアップについて,マルウェアに感染した場合に備えた対策を必要と感じたのはなぜか。適切なものを解答群の中から選び,記号で答えよ。
  • バックアップに用いる共有ディスク装置の運用方法について,マルウェアの感染に備えた対策を,30字以内で述べよ。
解答群
  • PC及びファイルサーバのハードディスクに対して暗号化を施していないから
  • ファイルサーバのディスク使用量の増加に伴い,バックアップに要する時間が延びるおそれがあるから
  • ファイルサーバのバックアップ先にも,マルウェア感染の影響が及ぶおそれがあるから
  • マルウェアの感染で,PC及びファイルサーバのシステム自体が破壊されるおそれがあるから

解答例・解答の要点


  • バックアップの時だけ共有ディスク装置を接続する (23文字)
    バックアップ時以外は社内LANから切り離す (21文字)

解説

  • マルウェアの中には、ネットワークを通じて、感染した端末から他の端末に感染を拡大させるタイプのものがあります。

    ランサムウェアは、たとえ金銭を支払ってもデータが元に戻る保証はなく、定期的なバックアップの取得とバックアップからの回復が最良の対策となります。J社はバックアップを社内LAN上の共有ディスクに保存していますが、もし、あるPCの感染を契機に社内LAN経由で共有ディスクにも感染が広がった場合、バックアップからの回復ができなくなってしまいます。
    S主任が、ファイルサーバ上のファイルのバックアップについて検討したのは、現状の運用ではマルウェアの感染時にバックアップデータまで暗号化されてしまう恐れがあるからです。

    ∴ウ:ファイルサーバのバックアップ先にも,マルウェア感染の影響が及ぶおそれがあるから

  • マルウェアはネットワークを通じて感染を拡大させるので、ネットワークに未接続ならば他の端末から感染する可能性はゼロです。そして、共有ディスクはバックアップだけを目的としており、社内LANに常時接続している必要はありません。このため、「バックアップ取得時/回復時だけ社内LANに接続する」ように運用を改善すれば、マルウェア感染のリスクを低減できます。

    ∴バックアップの時だけ共有ディスク装置を接続する
     バックアップ時以外は社内LANから切り離す
模範解答

Pagetop