基本情報技術者試験「インシデント対応」の問題
F社の社員が、業務端末の画面に『ファイルを暗号化した。復号してほしければ支払え』という脅迫文が表示され、ファイルが開けなくなっているのを発見した。端末はまだ社内ネットワークに接続されている。発見した社員がまず優先して行うべきことはどれか。
ア被害を早く収めるため、要求された金額を支払って復号鍵を得ることを検討する。
イ端末を社内ネットワークから外して操作をやめ、担当部署へ速やかに連絡する。
ウ暗号化を自力で解こうと、出所不明の復号ツールを探して実行する。
エ被害の詳細を把握するため、表示された脅迫文中のリンクを順にたどって確認する。
正解
イ.端末を社内ネットワークから外して操作をやめ、担当部署へ速やかに連絡する。
ランサムウェア感染を発見した初動では、まず端末をネットワークから切り離して共有フォルダや他端末への暗号化拡大を止め、余計な操作をせず担当部署(情報システム部やCSIRT)へ速やかに連絡するのが最優先である。被害範囲の確定と対応は専門部署が担う。
?選択肢ごとの解説
ア ×身代金の支払いは復号の保証がなく攻撃者を利するうえ、組織方針に反する重大判断であり、発見者が個人で検討すべきことではない。
イ ○ランサムウェア感染を発見した初動では、まず端末をネットワークから切り離して共有フォルダや他端末への暗号化拡大を止め、余計な操作をせず担当部署(情報システム部やCSIRT)へ速やかに連絡するのが最優先である。被害範囲の確定と対応は専門部署が担う。
ウ ×出所不明の復号ツールの入手・実行は新たなマルウェア感染を招くリスクが高く、被害を悪化させかねない。
エ ×脅迫文のリンクをたどる行為は攻撃者の罠を踏み、追加の感染や情報送信を誘発するおそれがある。
✎くわしく
初動対応の優先順位は『拡大防止(隔離)→報告→専門対応』である。発見者は事態を悪化させない行動(隔離・操作停止・連絡)に徹し、支払いや復旧の判断は組織として行う。個人の独断や攻撃者への接触は厳禁である。
✓本番での押さえどころ
試験のコツ
ランサム発見の初動は『隔離→操作停止→報告』。支払い検討・自力復旧・指示追跡は発見者がやるべきでない。
覚え方
見つけたら『線を抜いて手を止めて知らせる』。自分で解こうとしない、払わない、触らない。
よくある誤り
自分で何とかしようと復号を試みる、または攻撃者の指示に反応してしまう。発見者の役割は隔離と報告に限られる点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0126