情報セキュリティ

基本情報技術者試験標的型攻撃」の問題

情報セキュリティ情報セキュリティ難易度:normal
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消えた。担当者はマルウェア感染を疑っている。この時点で担当者が最初に取るべき行動として、最も適切なものはどれか。
LANと無線を遮断したうえで通電は保ち、セキュリティ担当者へ連絡する。
挙動を再現してログを取るため、同じ添付ファイルをもう一度開いて画面を記録する。
原因メールを削除し、ごみ箱も空にしてから上長へ口頭で報告する。
電源ボタンを長押しして即時シャットダウンし、その後に上長へ報告する。
正解
LANと無線を遮断したうえで通電は保ち、セキュリティ担当者へ連絡する。

通信線と無線を断つことで他端末・サーバへの感染拡大を止めつつ、通電を保つことでメモリ上の通信先や実行中プロセスなどの揮発性証拠を保全でき、専門部署が原因調査と封じ込めを行える。担当者個人が判断せず報告する点も適切である。

?選択肢ごとの解説

ア ○通信線と無線を断つことで他端末・サーバへの感染拡大を止めつつ、通電を保つことでメモリ上の通信先や実行中プロセスなどの揮発性証拠を保全でき、専門部署が原因調査と封じ込めを行える。担当者個人が判断せず報告する点も適切である。
イ ×挙動再現と称して添付を再度開く行為はマルウェアを再実行して感染を確実化・悪化させ、観察は専門部署の隔離環境で行うべきである。
ウ ×メール削除とごみ箱の空化は感染原因の特定や被害範囲調査に必要な証拠を失わせ、後続の調査と再発防止を妨げる。
エ ×長押しによる即時シャットダウンはメモリ上の通信ログやプロセスなど揮発性証拠を消失させ、原因究明を困難にするため、隔離を優先すべきである。

くわしく

標的型攻撃の初動では『拡大防止』と『証拠保全』を両立させる必要がある。ネットワーク隔離は前者、通電維持は後者を満たす。電源断は一見安全だが、近年のマルウェアはメモリ常駐型も多く、揮発情報の喪失は致命的である。

本番での押さえどころ

試験のコツ

科目Bの初動対応問題は『拡大防止+証拠保全+専門部署への報告』の3点を満たす選択肢が正解になりやすい。

覚え方

『線を抜いて電源は抜かない』と覚える。線(ネットワーク)は遮断、電源(証拠)は維持。

よくある誤り

『感染したらすぐ電源を切る』という古い通念を適用してしまう。隔離と電源断を混同しないことが重要である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0001

【基本情報技術者試験】標的型攻撃の問題 — 解答・解説|ukamiru 過去問