PCのマルウェア対策【平成25年度 春期 応用情報技術者試験 午後 問9】

平成25年春 応用情報技術者試験 午後 問9

問9 PCのマルウェア対策に関する次の記述を読んで、設問1〜4に答えよ。

 A社は、オフィス向け文具の開発、販売を手掛ける中堅企業であり、本社には企画部、開発部、営業部がある。全ての本社社員はデスクトップPCを1台ずつ所持している。さらに、営業部の社員は社外持出しのためにノートPCを1台ずつ所持している。

 本社内のデスクトップPCは、社内LANに接続され、電子メール(以下、メールという)の送受信と保管、Web閲覧、ファイル共有、文書の作成・保管などに利用されている。

 ノートPCは、社外に持ち出した場合にだけ使用され、メールの送受信と保管、Web閲覧、文書の作成・保管などに利用されている。

〔デスクトップPC及びノートPCにおけるマルウェア対策〕

 A社では、デスクトップPC及びノートPCにおいて、次のマルウェア対策を実施している。

  • デスクトップPC及びノートPCでは、OSやアプリケーションソフトウェアのアップデートを自動的に実施する設定を推奨している。
  • デスクトップPC及びノートPCにウィルス対策ソフトウェアを導入し、ウィルス定義ファイルを毎日更新する設定を推奨している。
  • メールサーバではメールの添付ファイルのウィルスチェックを行うとともに、①スパムメールをメールサーバ上で自動的に判定し、スパムメールと判定されたメールをサーバ上で隔離している

下線①を実施した際に、メールの送信元や内容などで自動的に判定する基準が適切でないと、利用者がスパムメールを大量に受信してしまうことがある。その他に発生するおそれがある問題は?→誤検知によって受信するべきメールが取り込めない。

スパムメールかどうかを判定する仕組みには誤検知の問題が伴います。判定基準のレベルが低い(甘い)とスパムメールを見逃してしまい、利用者が大量のスパムメールを受信してしまうことになります。逆に判定基準のレベルが高い(厳しい)と通常のメールをスパムメールと誤検知してしまい、利用者が受信するべきメールが取り込めなくなる可能性があります。

  • 社内LANからインターネット上のWebサイトを閲覧する際には、プロキシサーバを介する。②プロキシサーバ では、問題のあるWebサイトを登録しておくことによって、アクセス可能なWebサイトを制限するフィルタリング方式を利用している。問題のあるWebサイトのリストは、プロキシサーバ上でアクセス制限を行うソフトウェアのベンダから定期的に提供を受けている。

問題のあるWebサイトを登録することによってアクセス可能なWebサイトを制限するフィルタリング方式→ブラックリスト

ブラックリストとは逆に、ホワイトリストのフィルタリング方式では、アクセスを許可するWebサイトを登録してそれ以外の通信は全て拒否します。

〔ノートPC持出し時の使用状況〕

 営業部の社員がノートPCを社外に持ち出すときの使用状況は、次のとおりである。

  • インターネットへアクセスするために、USB接続の通信機器を使用している。
  • メールアカウントは、A社が契約しているISPのものを使用し、インターネット経由で利用している。
  • ノートPCで作成した各種文書は、ファイルの暗号化を行い、ISPのメールアカウントを用いて、メールに添付して自社宛てに送信している。
  • 主に商品の紹介や在庫状況の確認のために、自社のWebサイトを参照している。また、顧客のWebサイトを参照して情報収集も行っている。

〔ウィルス感染の状況〕

 A社では、最近になって、デスクトップPCやノートPCのウィルス感染が3件発生した。それぞれのウィルス感染の状況は、表1のとおりであった。

f:id:aolaniengineer:20200125043553p:plain

「③打合せの日程確認が取引先担当者を詐称したメールによって送付された」サイバー攻撃手法の名称→標的型攻撃

「取引先担当者を詐称」とあり、特定の個人をターゲットにした標的型攻撃に相当します。不特定多数をターゲットにするスパムメールなどとは異なり、標的型攻撃では取引先企業や知人、官公庁などの信頼性のある人からのメールであるように詐称することで、受信者に安心してメール本文のリンクをクリックさせたり、添付ファイルを開かせたりします。

「④アプリケーションソフトウェアのセキュリティパッチが提供される前のぜい弱性を狙ったウィルスであった」サイバー攻撃手法の名称→ゼロデイ攻撃

ゼロデイ攻撃は、ソフトウェアに脆弱性が存在することが判明し、その修正プログラムが提供される前に、その脆弱性を狙って行われる攻撃のことです。

〔ウィルス感染に対する対策の検討〕

 企画部のB部長は、発生したウィルス感染と同様の感染が再発するのを防ぐ対策の検討を、C君に指示した。C君は、各事例を分析し、ウィルス感染のリスクをできるだけ減らすために、デスクトップPC及びノートPCにおける新たなマルウェア対策案を検討し、表2にまとめた。

f:id:aolaniengineer:20200125044029p:plain

USBメモリの利用に関する対策→①USBメモリの利用時にウィルススキャンを強制的に実施する仕組みとする。 ②USBメモリは、マルウェア対策が実施済みで利用履歴が管理された専用のデスクトップPCだけで利用可能とする。

USBメモリを介したマルウェア感染は、USBメモリをPCに接続するとウィルス本体が自動的に実行される仕組みになっているものが多いと思われます。これに対する対策としては、最新のウィルス定義ファイル、OSのセキュリティパッチ適用による感染のリスクを下げる施策があります。

【対策7】によって期待される、Webサイト閲覧時の効果→プロキシサーバでアクセス可能なWebサイトを制限できる。

Webサイトへのアクセスを社内LAN経由だけにすると、下記の記述からプロキシサーバのフィルタリング方式を利用することになり、アクセス可能なWebサイトを制限することができます。

社内LANからインターネット上のWebサイトを閲覧する際には、プロキシサーバを介する。②プロキシサーバ では、問題のあるWebサイトを登録しておくことによって、アクセス可能なWebサイトを制限するフィルタリング方式を利用している。問題のあるWebサイトのリストは、プロキシサーバ上でアクセス制限を行うソフトウェアのベンダから定期的に提供を受けている。

〔検討会議における指摘と対策〕

 C君がまとめたマルウェア対策案に基づき、A社内で検討会議を開催したところ、表2中の【対策7】について、”社内LANにVPN経由でアクセスさせる方式は、導入までにコストと時間を要するので、短時間で対応可能な代替案を検討すべきである”との意見があった。

 C君は、【対策7】の代替案として、アクセス可能なWebサイトを制限する仕組みをノートPCに導入する方法を提案することにした。ノートPCを社外で使用する場合にアクセス可能なWebサイトを制限する方式には、社内LAN上のデスクトップPC向けにプロキシサーバで実施していた方式ではなく、⑤あらかじめ指定されたWebサイト(自社のWebサイトや顧客のWebサイトなど)だけをアクセス可能にする方式を採用し、ノートPC上の常駐型ソフトウェアで実現することにした

⑤の方式をA社のノートPCで実施した場合でも、Web閲覧によってノートPCがウィルスに感染する可能性がある。それはどのような攻撃があった場合か→あらかじめ指定されたWebサイトにマルウェアが埋め込まれた場合

ここで想定される攻撃は、標的型攻撃の一つである「水飲み場型攻撃」です。ターゲットとなる利用者が良く利用するWebサイトにマルウェアを埋め込むことで、マルウェア感染させます。

ホワイトリストのWebサイトへのアクセスでも常に安全であるとは限りません。

 さらに、検討会議では”万が一ウィルスに感染してしまった場合の事後対策が不足している”との意見があったので、C君は次の項目について検討することにした。

(1)感染したことを社内のインシデント対応部門に連絡し、社内周知によって感染の拡大を防ぐルールの策定と周知

(2)感染したことによって情報漏えいが発生した場合の対応ルールの策定

(3)⑥感染したことによってデスクトップPCやノートPCが使用不能となった場合に備えるための対策の策定

【出典:応用情報技術者試験 平成25年度春期午後問9(一部、加工あり)】

⑥について、デスクトップPCやノートPCの利用者が実施可能な対策→データのバックアップを外部媒体に定期的にとる。

「デスクトップPCやノートPCにはメールや文書が保管されている」とあるため、利用者側で実施可能な対策としては、そのようなデータのバックアップが有効です。