情報セキュリティ

基本情報技術者試験インシデント対応」の問題

情報セキュリティ情報セキュリティ難易度:normal
F社の社員が、業務端末の画面に『ファイルを暗号化した。復号してほしければ支払え』という脅迫文が表示され、ファイルが開けなくなっているのを発見した。端末はまだ社内ネットワークに接続されている。発見した社員がまず優先して行うべきことはどれか。
被害を早く収めるため、要求された金額を支払って復号鍵を得ることを検討する。
端末を社内ネットワークから外して操作をやめ、担当部署へ速やかに連絡する。
暗号化を自力で解こうと、出所不明の復号ツールを探して実行する。
被害の詳細を把握するため、表示された脅迫文中のリンクを順にたどって確認する。
正解
端末を社内ネットワークから外して操作をやめ、担当部署へ速やかに連絡する。

ランサムウェア感染を発見した初動では、まず端末をネットワークから切り離して共有フォルダや他端末への暗号化拡大を止め、余計な操作をせず担当部署(情報システム部やCSIRT)へ速やかに連絡するのが最優先である。被害範囲の確定と対応は専門部署が担う。

?選択肢ごとの解説

ア ×身代金の支払いは復号の保証がなく攻撃者を利するうえ、組織方針に反する重大判断であり、発見者が個人で検討すべきことではない。
イ ○ランサムウェア感染を発見した初動では、まず端末をネットワークから切り離して共有フォルダや他端末への暗号化拡大を止め、余計な操作をせず担当部署(情報システム部やCSIRT)へ速やかに連絡するのが最優先である。被害範囲の確定と対応は専門部署が担う。
ウ ×出所不明の復号ツールの入手・実行は新たなマルウェア感染を招くリスクが高く、被害を悪化させかねない。
エ ×脅迫文のリンクをたどる行為は攻撃者の罠を踏み、追加の感染や情報送信を誘発するおそれがある。

くわしく

初動対応の優先順位は『拡大防止(隔離)→報告→専門対応』である。発見者は事態を悪化させない行動(隔離・操作停止・連絡)に徹し、支払いや復旧の判断は組織として行う。個人の独断や攻撃者への接触は厳禁である。

本番での押さえどころ

試験のコツ

ランサム発見の初動は『隔離→操作停止→報告』。支払い検討・自力復旧・指示追跡は発見者がやるべきでない。

覚え方

見つけたら『線を抜いて手を止めて知らせる』。自分で解こうとしない、払わない、触らない。

よくある誤り

自分で何とかしようと復号を試みる、または攻撃者の指示に反応してしまう。発見者の役割は隔離と報告に限られる点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0126

【基本情報技術者試験】インシデント対応の問題 — 解答・解説|ukamiru 過去問