基本情報技術者試験「標的型攻撃」の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消えた。担当者はマルウェア感染を疑っている。この時点で担当者が最初に取るべき行動として、最も適切なものはどれか。
アLANと無線を遮断したうえで通電は保ち、セキュリティ担当者へ連絡する。
イ挙動を再現してログを取るため、同じ添付ファイルをもう一度開いて画面を記録する。
ウ原因メールを削除し、ごみ箱も空にしてから上長へ口頭で報告する。
エ電源ボタンを長押しして即時シャットダウンし、その後に上長へ報告する。
正解
ア.LANと無線を遮断したうえで通電は保ち、セキュリティ担当者へ連絡する。
通信線と無線を断つことで他端末・サーバへの感染拡大を止めつつ、通電を保つことでメモリ上の通信先や実行中プロセスなどの揮発性証拠を保全でき、専門部署が原因調査と封じ込めを行える。担当者個人が判断せず報告する点も適切である。
?選択肢ごとの解説
ア ○通信線と無線を断つことで他端末・サーバへの感染拡大を止めつつ、通電を保つことでメモリ上の通信先や実行中プロセスなどの揮発性証拠を保全でき、専門部署が原因調査と封じ込めを行える。担当者個人が判断せず報告する点も適切である。
イ ×挙動再現と称して添付を再度開く行為はマルウェアを再実行して感染を確実化・悪化させ、観察は専門部署の隔離環境で行うべきである。
ウ ×メール削除とごみ箱の空化は感染原因の特定や被害範囲調査に必要な証拠を失わせ、後続の調査と再発防止を妨げる。
エ ×長押しによる即時シャットダウンはメモリ上の通信ログやプロセスなど揮発性証拠を消失させ、原因究明を困難にするため、隔離を優先すべきである。
✎くわしく
標的型攻撃の初動では『拡大防止』と『証拠保全』を両立させる必要がある。ネットワーク隔離は前者、通電維持は後者を満たす。電源断は一見安全だが、近年のマルウェアはメモリ常駐型も多く、揮発情報の喪失は致命的である。
✓本番での押さえどころ
試験のコツ
科目Bの初動対応問題は『拡大防止+証拠保全+専門部署への報告』の3点を満たす選択肢が正解になりやすい。
覚え方
『線を抜いて電源は抜かない』と覚える。線(ネットワーク)は遮断、電源(証拠)は維持。
よくある誤り
『感染したらすぐ電源を切る』という古い通念を適用してしまう。隔離と電源断を混同しないことが重要である。
情報セキュリティの他の問題
B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…G社では情報セキュリティインシデントが発生した際、各部署が個別に対応し、被害状況の集約や対外的な情報発信が混乱した経緯がある…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0001