マルウェア感染への対応【応用情報技術者試験 平成30年度 春期 午後 問1】

応用情報技術者試験 平成30年度 春期 午後 問1

問1 マルウェア感染への対応に関する次の記述を読んで、設問1〜4に答えよ。

 J社は、従業員が100名の商社であり、各種工業製品用の部品・材料を取り扱っている。

 J社のPCは、情報システム課で管理しており、業務に必要なソフトウェアをあらかじめインストールして各部署に配布し、社内LANに接続している。

 コンピュータウィルスなどのマルウェアの感染を防ぐために、自社の情報セキュリティ規程に沿って、PCとサーバにウィルス対策ソフトを導入し、最新のウィルス定義ファイルとセキュリティパッチを自動的に適用している。サーバ上のファイルは、社内LAN上の共有ディスク装置に定期的にバックアップされている

 また、社内LANに接続されたPCからインターネット上のWebサイトを閲覧するときに、業務上閲覧することが不適切なWebサイトへの接続を制限する(a:URLフィルタリング)を導入している。

a:URLフィルタリング

URLフィルタリングとは、アクセスできるWebサイトを制限する方式の一つで、閲覧を許可または拒否するURLを列挙する方式です。

【モバイルPCの運用】

 J社には社内だけで利用するPCの他に、営業課員が社外での営業活動時に携行するモバイルPCが用意され、社内では無線LANによって社内LANに自動的に接続できる。モバイルPCは、利用時以外は所定のキャビネットにおいて施錠管理されている。

 モバイルPCには、OSと、業務に必要なソフトウェアだけがインストールされている。外出先で利用する文書ファイルなどは、モバイルPCの持出し時に営業課員が社内のファイルサーバからコピーする。また、モバイルPC利用後は、モバイルPC上にユーザがコピーした又は作成したファイル(以下、ユーザ作成ファイルという)を全て削除してから、所定のキャビネットに返却する。

【モバイルPCのマルウェア感染】

 ある日、営業課のK君は、取引先での営業活動のために、ファイルサーバから新製品の提案書をモバイルPCにコピーして外出した。外出中に当該モバイルPCで営業日報を作成して、その日は帰宅した。翌日出社し、別の取引先を訪問するために営業情報をファイルサーバからコピーしようと当該モバイルPCを起動したところ、金銭の支払を要求する警告メッセージが表示された。当該モバイルPC上のファイルを確認すると、新製品の提案書と営業日報のファイル名の拡張子が特定の文字列に変更されていたその拡張子を変更前のものに戻してからファイルを開いても、内容は文字化けして、判読できなかった

 K君は、直ちに上司を通じて、情報システム課のY課長にこの状況を報告した。Y課長は取り急ぎ、当該モバイルPC本体の無線LAN機能を停止させて社内LANから切断し、当該モバイルPCにはそれ以上触らず、そのままにしておくようK君に指示した。Y課長は、報告を受けた状況から見て(b:ファイル暗号化)型の(c:ランサムウェア)に感染した可能性が高いと判断し、部下で情報セキュリティ担当のS主任に状況の確認と対策の検討を指示した。

b:ファイル暗号化、c:ランサムウェア

「金銭の支払を要求する警告メッセージが表示された」 とあることから、ランサムウェア(ransomware)に感染したと考えられます。

ランサムウェアに感染したコンピュータの状況としては、画面がロックされパスワードを要求されたり、ファイルが暗号化されて読み取れない状態にされたりすることがあります。

【情報セキュリティ担当者による状況の確認】

 S主任は、K君から当該モバイルPCの直近の利用状況を聞き取った。

S主任:このモバイルPCの利用状況について教えてください。

K君:昨日、営業で訪問した取引先の会議室において、当社が取扱いを始めた新製品のプレゼンテーションに利用しました。取引先では、インターネットを含めネットワーク接続をしていません。その時は特に異常はありませんでした。取引先を出た時には終業時刻を過ぎていたので、そのまま自宅に帰るつもりでした。営業日報だけ当日中に作成しようと、途中で最寄り駅近くの喫茶店に立ち寄って、このモバイルPCを利用しました。喫茶店では公衆無線LANでインターネットに接続し、営業日報を電子メール(以下、メールという)で上司に送信しました。

S主任:何か他に利用しましたか。

K君:営業日報のメール送信後に、取引先で質問された情報を調べようと、Webサイトを検索していたところ、突然警告メッセージのような画面が表示されました。Webサイトを閲覧中に時々表示される詐欺まがいの広告の類いだろうと思い、メッセージはよく読まずにすぐWebブラウザを閉じてモバイルPCをシャットダウンしました。今日、別の取引先との商談に、引き続きこのモバイルPCを利用する予定でしたので、必要なファイルを追加でコピーしようとして、今回の事象に遭遇しました。

 S主任はK君への聞き取りから、今回のマルウェアはインターネット上のWebサイトから、(d:ドライブバイダウンロード)によって当該モバイルPCに感染したものと推測した。

d:ドライブバイダウンロード

「Webサイトを検索していたところ、突然警告メッセージのような画面が表示されました」とあることから、インターネット上のWebサイトから感染させられる攻撃の一つである、ドライブバイダウンロードによる攻撃と考えられます。

なお、ドライブバイダウンロードのうち、特定の組織や個人を標的とする攻撃のことを水飲み場型攻撃といいます。

 一方、S主任は、今日、K君が当該モバイルPCを社内LANに接続した時刻以降、社内のネットワークから外部への不審な通信が行われていないこと、①社内の他のPCやサーバに感染被害が拡大していないことを確認した。このことから、S主任は、今回の被害の影響範囲はK君が利用した当該モバイルPCだけに限られると判断した。

①について、マルウェアの感染被害が拡大していないことを、どのような方法で確認したのか。40字以内で述べよ。:特定の文字列に変更された拡張子のファイルが他のPCやサーバにないこと/最新のウィルス定義ファイルで、当該マルウェアが他に検出されないこと/他のPCやサーバでマルウェアによる警告メッセージが表示されないこと

今回の事象である、「特定の文字列に変更された拡張子のファイルがある」と「金銭の支払いを要求する警告メッセージが表示される」を他のPCやサーバで確認すれば良さそうです。

また、この後に出てきますが、 「当該マルウェアは最新のウィルス定義ファイルで駆除できる」とあり、他のPCやサーバで最新のウィルス定義ファイルで検出されていないか確認する方法もありそうです。

 また、S主任は、当該モバイルPC上で変更されたファイル名の拡張子の文字列から、最近報告されたマルウェアの疑いが強いこと、当該マルウェアは最新のウィルス定義ファイルで駆除できることを確認した。S主任は、今回の一連の状況及び調査結果をまとめ、Y課長に報告した。

【モバイルPCのセキュリティ管理上の問題点】

 モバイルPCには、社内のPCと同じウィルス対策ソフトが導入されている。しかし、ウィルス定義ファイルは、社内LAN接続中に手動又は不特定の時刻に自動で更新される仕様なので、モバイルPCの利用時にウィルス定義ファイルが最新になっていない可能性がある。

 J社の情報セキュリティ規程では、モバイルPCの利用時には、セキュリティパッチとウィルス定義ファイルを最新のものに更新するよう定めていた。しかし、今回、K君はウィルス定義ファイルが最新になっていることの確認を怠ってしまった。

 その後、J社では、モバイルPCの利用に関する情報セキュリティ規程を遵守させるために、モバイルPCの持出し時の手順にチェックリストによる点検を新たに追加した。

モバイルPCのウィルス定義ファイル更新を確認する観点から、持出し時に確認すべき事項を30字以内で述べよ。:ウィルス定義ファイルのバージョンが最新であること/ウィルス定義ファイルの更新日時が最新であること/社内LANに接続し、手動でウィルス定義ファイルを更新したこと

情報セキュリティ規程で「セキュリティパッチとウィルス定義ファイルを最新のものに更新するよう定めていた」 にも関わらず、今回、「ウィルス定義ファイルが最新になっていることの確認を怠ってしまった」とあります。

この対策としてチェックリストによる点検で、具体的に記載する確認内容を挙げれば良さそうです。

過失による確認漏れについて、更に、チェックリストで防ごうとしてもどれほどの効果があるか疑問です。もう一段踏み込んで第三者による確認や、システム的なチェックを取り入れたりする対策が必要かと思います。

モバイルPCのマルウェア感染の対策として、適切でないものはどれか。:モバイルPCは社内LANに一切接続せず、必要なファイルのコピーはUSBメモリなど可搬性がある記憶媒体を介して行う。

  • 情報セキュリティ規程の遵守を徹底するよう、従業員を再教育する。:有効な対策です。
  • モバイルPCのウィルス対策ソフトを、インターネットからも直接、ウィルス定義ファイルを更新できる仕様の製品に切り替える。:有効な対策です。
  • モバイルPCは社内LANに一切接続せず、必要なファイルのコピーはUSBメモリなど可搬性がある記憶媒体を介して行う。:USBを経由したり、インターネットからのマルウェア感染は防げません。
  • モバイルPCを、SIMカードによるデータ通信対応の端末に切り替え、公衆無線LANの利用は禁止する。:SIMカードによるデータ通信対応にすることで、携帯キャリア網を経由したインターネット接続が可能です。これに対し、公衆無線LANは不特定多数の利用を可能とするため、セキュリティ面が脆弱であり、また、攻撃者が不正に設置した無線LANアクセスポイントが設置されている可能性もあります。

【マルウェアに感染した場合に備えた対策の検討】

 Y課長は、S主任からの報告を受け、今回のようなマルウェアがモバイルPCだけでなく、社内のPCに感染した場合にも備える必要があると感じた。マルウェア感染の被害を最小限にとどめる対策として、社内のPC上のファイルのバックアップについて、S主任に検討を指示した。

 S主任は、PC上のユーザ作成ファイルは当該PCには保存せず、ファイルサーバに保存するよう情報セキュリティ規程を改定し、さらに②ファイルサーバ上のファイルのバックアップについても、マルウェアに感染した場合に備えた対策を講じるための検討に着手した

【出典:応用情報技術者試験 平成30年度 春期 午後 問1(一部、加工あり)】 

②について、S主任が、検討に着手したファイルサーバ上のファイルのバックアップについて、マルウェアに感染した場合に備えた対策を必要と感じたのはなぜか。:ファイルサーバのバックアップ先にも、マルウェア感染の影響が及ぶおそれがあるから

マルウェア感染は、まず、ドライブバイダウンロードにより該当PCに感染し、その後、社内ネットワークを介して、その他のPCやサーバに広がる可能性があります。

したがって、「PC上のユーザ作成ファイルは当該PCには保存せず、ファイルサーバに保存するよう情報セキュリティ規程を改定」とあるように、各PCでファイルは持たず、ファイルサーバに保存することで、最初の被害を低減させます。

そして、「サーバ上のファイルは、社内LAN上の共有ディスク装置に定期的にバックアップされている。」とあるように、ファイルサーバ上のファイルは定期バックアップされます。

ただし、バックアップ先は社内LAN上の共有ディスクであり、マルウェア感染の影響を考慮する必要があります。

バックアップに用いる共有ディスク装置の運用方法について、マルウェアの感染に備えた対策を、30字以内で述べよ。:バックアップの時だけ共有ディスク装置を接続する/バックアップ時以外は社内LANから切り離す

上記のとおり、バックアップ先の共有ディスク装置にもネットワークを介してマルウェア感染の可能性があるため、単純に、必要最小限の時だけ、ネットワークに接続させる運用にすれば良さそうです。