マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

カテゴリ: 2.H29春問1

問題文を読んでいきましょう。

問1 マルウェア感染への対応に関する次の記述を読んで,設問1~3に答えよ。
 T社は従業員数200名の建築資材商社であり,本社と二つの営業所の3拠点がある。このうち,Q営業所には,業務用PC(以下,PCという)30台と, NAS 1台がある。
→NAS(Network Attached Storage) といえば、BUFFALO(バッファロー)社のテラステーションが、馴染みが深い製品かもしれません。NAS=簡易なファイルサーバと考えてください。皆さんがデータを保存する大事なサーバです。
 
PCは本社の情報システム課が管理しており,PCにインストールされているウイルス対策ソフトは定義ファイルを自動的に更新するように設定されている。
 NASは,Q営業所の営業課と総務課が共用しており,課ごとにデータを共有しているフォルダ(以下,共有フォルダという)と,各個人に割り当てられたフォルダ(以下,個人フォルダという)がある。個人フォルダの利用方法についての明確な取決めはないが,PCのデータの一部を個人フォルダに複製して利用している者が多い。
→問題文を読むときには、個人フォルダの利用に取り決めが無いのはいいのかな?とう疑問を持ってください。実際、あとでこの点が改善されます。

 Q営業所と本社はVPNで接続されており,営業所員は本社にある業務サーバ及びメールサーバにPCからアクセスして,受発注や出荷などの業務を行っている。
 なお,本社には本社の従業員が利用できるファイルサーバが設置されているが,ディスクの容量に制約があり,各営業所からは利用できない。
 T社には,本社の各部及び各課の責任者,並びに各営業所長をメンバとする情報セキュリティ委員会が設置されており,総務担当役員が最高情報セキュリティ責任者
 (以下, CISOという)に任命されている。また,情報セキュリティインシデント(以下,インシデントという)対応については,インシデント対応責任者として本社
の情報システム課長が任命されている。さらに,本社と各営業所では,情報セキュリティ責任者と情報セキュリティリーグがそれぞれ任命されている。Q営業所の情報セキュリティ責任者はK所長,情報セキュリティリーグは,総務課のA課長である。
〔マルウェア感染〕
 ある土曜日の午前10時過ぎ,自宅にいたA課長は,営業課のBさんからの電話を受けた。休日出勤していたBさんによると,BさんのPC(以下, B-PCという)を起動して電子メール(以下,メールという)を確認するうちに,取引先からの出荷通知メールだと思ったメールの添付ファイルをクリックしたという。ところが,その後,
画面に見慣れないメッセージが表示され, B-PCの中のファイルや,Bさんの個人フォルダ内のファイルの拡張子が変更されてしまい,普段利用しているソフトウェアで開くことができなくなったという。
→ランサムウェアに感染したようです。ランサムウェアは、セマネの教科書p72に解説していますが、身代金(ransom)を要求するものです。

これらのファイルには,Bさんが手掛けている重要プロジェクトに関する,顧客から送付された図面,関連社内資料,建築現場を撮影した静止画データなどが含まれていた。そこで,Bさんは図1に示すT社の情報セキュリテイポリシ(以下,ポリシという)に従ってA課長に連絡したとのことであった。
→ポリシの8(1)にある「速やかに事象を報告する」というルールに従っています。適切な対応です。

A課長は, B-PCにそれ以上触らずそのままにしておくようBさんに伝え,取り急ぎ出社することにした。
→証拠保全のために、それ以上触らないように伝えたのでしょうか。でも、「そのまま」にして「取り急ぎ出社する」ことがいいのでしょうか。ちょっと疑問です。あとでLANケーブルを抜くのですが、この時点で抜くべきではなかったのか?という疑問があります。

 
8.インシデントヘの対応
(1)事象の発見と報告
 当社の情報資産についてマルウェア感染,情報漏えいなどが疑われる事象を発見した従業員は,所属する拠点の情報セキュリティリーダに速やかに事象を報告する。報告を受けた情報セキュリティリーダは,速やかに事象を確認し,事象を当該拠点の情報セキュリティ責任者及びインシデント対応責任者(不在時は情報システム課員)に報告する。情報セキュリティ責任者は,情報資産の機密性,完全性,可用性に関する重大な被害が発生する可能性があると判断した場合には,インシデントの発生を宣言する。
(2)被害拡大の防止
 情報セキュリティリーグは,当該インシデントに係る被害の拡大を防止するための対策を当該拠点の従業員に指示する。
(3)被害状況の把握,原因の特定及び影響範囲の調査
 情報セキュリティリーグは,インシデント対応責任者と協力して,被害状況の把握,原因の特定及び影響範囲の調査を行う。
(4)システムの復旧
 情報セキュリティリーグは,インシデント対応責任者と協力して,特定された原因の除去と,システムの復旧に努める。
(5)再発防止策の実施
 情報セキュリティリーグは,インシデント対応責任者とともにインシデントの再発防止策を検討し,実施す。
          図1 ポリシ(抜粋)

 A課長がQ営業所に到着してB-PCを確認したところ,画面にはファイルを復元するための金銭を要求するメッセージと,支払の手順が表示されていた。
→先ほども説明しましたが、身代金(ransom)を要求していますから、完全にランサムウェアです。

 A課長は,B-PCがマルウェアに感染したと判断し,K所長に連絡して,状況を報告した。この報告を受けたK所長は,インシデントの発生を宣言した。また,Bさんは,A課長の指示に従ってB-PCとNASからLANケーブルを抜いた。
 さらに,A課長がBさんに,他に連絡した先があるかを尋ねたところ,A課長以外にはまだ連絡していないとのことであった。そこで,A課長はインシデント対応責任者である情報システム課長に連絡したところ,情報システム課で情報セキュリティを主に担当しているS係長に対応させると言われた。そこで,A課長はS係長に連絡し,現在の状況を説明した。
S係長によると,状況から見て[ a ]と呼ばれる種類のマルウェアに感染した可能性が高く,①この種類のマルウェアがもつ二つの特徴が現れているとのことであった。A課長はS係長に,今後の対応への協力と当該マルウェアに関する情報収集を依頼し,S係長は了承した。その後,A課長が状況の調査を更に進めていたところ,昼過ぎにK所長がQ営業所に到着したので,A課長はその時点までの調査結果をK所長に説明した。調査結果を図2に示す。
・B-PC上のファイルと, B-PCから個人フォルダに複製したファイルがマルウェアによって暗号化されており,開くことができない状態になっていた。一方,Bさんは,顧客から送付されたデータを営業課の共有フォルダに複製していたが,そのデータに異常は見られなかった。
・B-PCに表示されたメッセージによると,BさんのファイルはAESとRSAの二つの暗号アルゴリズムを用いて暗号化されており,これが事実だとすると,復号することは極めて困難である。
・[ a ]によっては,暗号化されたデータを復号できるツールがウイルス対策ソフトベンダなどから提供されている場合もあるが,今回のマルウェアに対応しているツールはない。また,[ a ]によってはOSの機能を用いると暗号化される前のデータがOSの復元領域から復元できる場合もあるが,今回のマルウェアは,0Sの復元領域を削除していた。
 
→ランサムウェアの対策として、バックアップは重要ですが、それをしていなかったようです。Windowsだと、シャドウコピーの機能があり、自動でファイルのバックアップを取ってくれています。でも、その復元領域も削除されていたようです。困りましたね。

 
・今回のマルウェアは,金銭の受渡しに際して,②攻撃者の身元を特定できなくするための技術を利用している。
・B-PC以外のQ営業所のPCは全てシャットダウンされていた。
           図2 調査結果

〔感染後の対応〕
 K所長とA課長は,金銭の支払に応じるべきか否かはQ営業所だけで判断できることではないが,それぞれの場合に想定される被害及び費用の項目は一応把握しておきたいと考えた。そこで,“支払った場合にはデータを確実に復元できるが,支払わなかった場合にはデータを復元できない可能性が高い”という前提の下で想定される被害及び費用の項目を,表1のI~Ⅲに分けてリストアップした。

表1 想定される被害及び費用の項目
I.支払った場合にだけ,発生する又は発生するおそれがある項目 [ b ]
Ⅱ.支払わなかった場合にだけ,発生する又は発生するおそれがある項目 [ c ]
Ⅲ.支払っても支払わなくても発生する又は発生するおそれがある項目
(省略)
注記1 項目には,金額のほか,価値の喪失,損失といったものも含まれるものとする。
注記2 Ⅰ,Ⅱ,Ⅲは互いに排他的である。
 折よく,当該マルウェアに関する情報収集を行っていたS係長から,他社での対応事例の報告があった。これを受け,K所長とA課長は,表1作成時の前提を置かずに③対応について検討することにし,その結果を情報セキュリティ委員会に報告してCISOの判断を仰ぐことにした。
 夕方になって,本社で調査を行っていたS係長からA課長に連絡があり,今朝のマルウェア感染以降,Q営業所のネットワークから本社や外部への不審な通信は行わ
れていないことが分かった。また,業務で利用している本社のサーバにも特に異常は見られなかったという。
 これまでの調査から,被害はB-PC及びBさんの個人フォルダ内のファイルだけであったとA課長は判断し,Bさん用の新たなPCを準備するようS係長に依頼した。
 翌日の日曜日の朝,ウイルス対策ソフトの開発元から新たな定義ファイルが提供され, B-PCが感染していたマルウェアの検知と駆除が可能になった。そこで,その日の午後にT社の全てのPC,サーバ及びQ営業所のNASに対してマルウェアのスキャンを行ったところ, B-PC以外にマルウェアに感染していたものはなかった。また,暗号化されていたNAS上のデータに関しては, NASのデータのバックアップは実施されていなかったものの, NASの復元領域から一部を復元できることが判明し,業務への影響はある程度抑えることができた。
〔対策の見直し〕
 今回のインシデントを受けて,T社の情報セキュリティ委員会が開催された。A課長は, CISOから,今回のインシデントに関する問題点は何かと尋ねられた。A課長は、④データの取扱い及びバックアップに関するルールの内容が不十分であったことが問題点であったと回答し,次のことを提案した。
・データの取扱い及びバックアップに関するルールを全面的に見直し,全社的なルールを定めること
・本社のフアイルサーバの容量拡大を早急に実施し,全社共通の利用ルールを定め,
 それに基づいて各営業所からも利用できるようにすること
・営業所でのNASの利用は半年以内に廃止すること
・NASの利用を暫定的に継続する間は,営業所では⑤今回の種類のマルウェアに感染することによってファイルが暗号化されてしまうという被害に備えたバックアップを実施し,あわせて⑥バックアップ対象のデータの可用性確保のための対策を検討すること
 これらの提案は情報セキュリティ委員会で承認された。T社はマルウェア感染を契機として情報セキュリティの改善を図ることになった。

情報セキュリティマネジメント試験(H29年春午後問1)の設問解説をします。ざざっと書いただけなので、雑です。ご容赦ください。

設問1 〔マルウェア感染〕について. (1)~(3)に答えよ。
(1)本文中及び図2中の[ a ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
aに関する解答群
 ア アドウェア   イ キーロガー
 ウ ダウンローダ  エ ドロッパ
 オ ランサムウェア カ ルートキット
 キ ワーム

正解はランサムウェアです。問題文に「Bさんの個人フォルダ内のファイルの拡張子が変更されてしまい,普段利用しているソフトウェアで開くことができなくなった」とあるように、ファイルを暗号化します。また、「画面にはファイルを復元するための金銭を要求するメッセージ」とあるように、身代金(ransom)を要求します。キーロガー、ランサムウェア、ルートキット、ワームに関しては、セマネの教科書のP70~73で解説しています。

(2)本文中の下線①について,この種類のマルウェアの特徴を,次の(i)~(vii)の中から二つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。
 (i)OSやアプリケーションソフトウェアの脆弱性が悪用されて感染することが多い点
 (ii) Webページを閲覧するだけで感染することがある点
 (iii)感染経路が暗号化された通信に限定される点
 (iv)感染後,組織内部のデータを収集した上でひそかに外部にデータを送信することが多い点
 (v)端末がロックされたり,ファイルが暗号化されたりすることによって端末やファイルの可用性が失われる点
 (vi)マルウェア対策ソフトが導入されていれば感染しない点
 (vii)マルウェアに感染したPCの利用者やサーバの管理者に対して脅迫を行う点
 
解答群
 ア(i),(ii)  イ (i),(iii),
 ウ(i),(v)  エ (ii),(iii)
 オ(ii),(iv)  カ (iii),(v)
 キ(iii),(vii) ク (iv),(vi)
 ケ (v), (vi)   コ (v),(vii)

さて、ランサムウェアといっても、感染の方法や動作は様々です。正解を2つに絞れなかった人も多かったことでしょう。ポイントとなるのは、問題文下線①の「①この種類のマルウェアがもつ二つの特徴が現れている」の部分です。よって、実際に特徴が現れているもの、つまり問題文に記載があるもに絞ることができるのです。
では、順に見て行きましょう。
(i)脆弱性を悪用されたのではなく「添付ファイルをクリック」とありますから、自ら実行してしまいました。
(ii)今回は、メール経由の感染です。
(iii)メールなので、暗号化された通信に限定されるわけではありません。
(iv)情報搾取が目的のマルウェアの特徴です。
(v)「普段利用しているソフトウェアで開くことができなくなった」とありますから、正解選択肢です。
(vi)「PCにインストールされているウイルス対策ソフトは定義ファイルを自動的に更新するように設定されている。」とありますから、今回は違います。
(vii)「画面にはファイルを復元するための金銭を要求するメッセージ」とありますから、正解選択肢です。

よって、正解は(v),(vii)のコです。


(3)図2中の下線②について,当てはまる技術だけを挙げた組合せを,解答群の中から選べ。
解答群
 ア Bitcoin, SSL-VPN, Tor
 イ Bitcoin, Tor
 ウ Bitcoin,ゼロデイ攻撃
 エ Bitcoin,ポストペイ式電子マネー
 オ SSL-VPN, Tor
 カ SSL-VPN,ゼロデイ攻撃
 キ SSL-VPN,バックドア,ポストベイ式電子マネー
 ク Tor,バックドア,ポストペイ式電子マネー
 ケ ゼロデイ攻撃,バックドア
 コ ゼロデイ攻撃,バックドア,ポストペイ式電子マネー
 
下線②は、「攻撃者の身元を特定できなくするための技術」とあります。正解はイです。最近話題のBitcoinは、仮想通貨です。日本でも、ヨドバシカメラなどの一部の店舗で利用できるようになりました。身分証明が必要な銀行口座と違い、秘匿性を保ったままBitcoinのやり取りができます。Tor(The Onion Router)は、自分のIPアドレスを隠す仕組みです。それ以外の選択肢は、関係ありません。また、SUICAなどのポストペイ式電子マネーですが、攻撃者に送金できる仕組みは無いと思います。(参考ですが、事後に本人のクレジットカードなどから引き落としがされます。)プリペイド(先払い)であれば、身元が分かりませんし、攻撃者にも送金可能です。

設問2 〔感染後の対応〕について,(1),(2)に答えよ。
(1)表1中の[ b ] ,[ c ]に入れる字句を,解答群の中から選べ。

以下に解答を書きます。

[項目1]攻撃者から要求されている金額 → Ⅰ
[項目2]再発防止に要する金額 → Ⅲ
[項目3]自力でのデータ復元の試みに要する金額 → Ⅱ(問題文に「支払った場合にはデータを確実に復元できる」という前提があるため)
[項目4]犯罪を助長したという事実に起因する企業価値の損失 → Ⅰ
[項目5]マルウェアに感染したという事実に起因する企業価値の損失 →Ⅲ
b,c に関する解答群
 ア[項目1],[項目2]
 イ [項目1],[項目2],[項目3]
 ウ[項目1],[項目2],[項目4]
 エ [項目1],[項目3]
 オ[項目1],[項目4]
 カ [項目2],[項目4]
 キ[項目2],[項目5]
 ク [項目3]
 ケ[項目4]
 コ [項目5]

よって、Ⅰは オ[項目1],[項目4]
Ⅱは ク [項目3]

(2)本文中の下線③について,支払に応じるべきではないと情報セキュリティ委員会で報告するとしたら,その理由は何か。次の(i)~(iv)のうち,適切なものだけを全て挙げた組合せを,解答群の中から選べ。

問題文に「表1作成時の前提を置かずに」とあります。つまり、「“支払った場合にはデータを確実に復元できるが,支払わなかった場合にはデータを復元できない可能性が高い”」という前提を無視します。
この問題はやや一般論で考えます。

 (i)金銭を支払うことによって,自社への更なる攻撃につながり得るから →○ この会社はお金を払うを分かれば、攻撃の標的となるでしょう。
 (ii)金銭を支払っても,ファイルを復号できる保証がないから →○ その通りです。
 (iii)外部業者にディジタルフォレンジックスを依頼すれば,暗号化されたデータを確実に復号できるから →× 図2に「BさんのファイルはAESとRSAの二つの暗号アルゴリズムを用いて暗号化されており,これが事実だとすると,復号することは極めて困難である。」との記載があります。
 (iv)表1において,IとⅡを比較した結果,Iの方が,被害及び費用が小さいから →× Ⅰには「攻撃者から要求されている金額」が含まれています。いくらなのか分からないので、何とも言えません。
 
解答群
 ア(i), (ii)     イ (i),(ii),(iii)
 ウ(i),(ii),(iv)  エ (i),(iii)
 オ(i),(iii),(iv)  カ (i),(iv)
 キ(ii), (iii)      ク (ii),(iii),(iv)
 ケ(ii),(iv)    コ (iii),(iv)

 よって、正解は、 ア(i), (ii)

設問3 〔対策の見直し〕について(1)~(3)に答えよ。
 (1)本文中の下線④の直接的な結果として,何が起きたか。解答群の中から二つ選べ
 
 下線④は「④データの取扱い及びバックアップに関するルールの内容が不十分であったこと」とあります。
 今回のランサムウェアに感染した原因は、不用意にファイルを実行してしまったことです。そして、その結果、データが消えてしまったのは、バックアップがなかったことです。会社としてバックアップの仕組みがあればよかったことでしょう。
 解答群
 ア B-PCのOSの復元領域が削除されたこと →× 関係ありません。
 イ T社の業務サーバ及びメールサーバがVPNで営業所と接続され,受発注や出荷などのデータが送受信されたこと →× 関係ありません。
 ウ Q営業所でNASのデータのバックアップが実施されなかったこと → ○ バックアップがあれば、復元できましたね。
 エ 業務で利用するデータについて,何をNASに保存するか,PCに保存するかが人によってまちまちだったこと → ○ 問題文に「個人フォルダの利用方法についての明確な取決めはない」とあります。
 → 正解はウ、エです。

(2)本文中の下線⑤について,次の(i)~(iv)のうち,効果があるものだけを全て挙げた組合せを,解答群の中から選べ。
 
 (i)NAS上の特に重要なフォルダについては,定期的にBD-Rにデータを複製し,BD-Rは鍵が掛かるキャビネットに保管する。
 (ii) NASに定期的に別途ハードディスクドライブを追加接続してデータをアーカイブし,終了後にハードディスクドライブを取り外して保管する。
 (iii) NASにハードディスクドライブを増設し, RAID 5構成にすることによってデ一夕自体の冗長性を向上させる。
 (iv) NASにハードディスクドライブを増設して,増設したハードディスクドライブにデータを常時レプリケーションするようにする。
解答群
 ア(i)      イ (i),(ii)
 ウ(i),(ii),(iv)  エ (i),(iv)
 オ(i),(iii),(iv) カ(ii),(iii)
 キ(ii),(iv)    ク (ii),(iV)
 ケ(iii),(iv)   コ (iii),(v)

問題文には、「⑤今回の種類のマルウェアに感染することによってファイルが暗号化されてしまうという被害に備えたバックアップを実施し」とあります。
ランサムウェアは、通信可能な先のファイルを暗号化します。PCに接続された外付けHDDや、ネットワークにつながっているファイルサーバなどです。よって、PCからランサムウェアが直接アクセスできないところにバックアップすることが安全な方法です。すると、正解は(i),(ii)つまり、イです。

(3)本文中の下線⑥について,次の(i)~(iV)のうち,効果があるものだけを全て挙げた組合せを,解答群の中から選べ。

問題文には「⑥バックアップ対象のデータの可用性確保のための対策を検討する」とあります。可用性(Availability)とは、利用したいときに使用できる状態になっていることを指します。

 (i)バックアップした媒体からデータが正しく復元できるかテストする。 →○ 可用性に関する内容です。
 (ii)バックアップした媒体を二つ作成し,一つは営業所に,もう一つは別の安全な場所に保管する。 →○ 複数の場所で保管したほうが、可用性が高まります。
 (iii)バックアップした媒体を再び読み出せないようにしてから廃棄する。 →× 機密性に関する内容です。
 (iV)バックアップする際にデータに暗号化を施す。 →× 機密性に関する内容です。
 
解答群
 ア(i)        イ (i),(ii)
 ウ(i),(ii),(iii) エ (i),(iv)
 オ(ii)        カ (ii),(iii),
 キ(ii), (iii), (iv)  ク (ii) (iv)
 ケ(iii)        コ (iii) (iv)

よって、正解は、イ (i),(ii)です。

↑このページのトップヘ