基本情報技術者試験「サプライチェーン攻撃」の問題
I社は、業務で利用しているソフトウェアの正規の自動更新を適用したところ、その更新版にあらかじめ不正なコードが仕込まれており、I社内の端末がマルウェアに感染した。後日、ソフトウェア提供元が開発環境を侵害され、配布物に不正コードを混入されていたと公表した。この種の攻撃に備える対策として、最も適切なものはどれか。
ア提供元や委託先を含む供給網全体の安全性を継続的に評価し、配布物や挙動の異常を早期に捉える。
イ自動更新を手動承認に切り替え、更新版を社内の検疫環境で一定期間試用してから本番へ展開する。
ウ端末にEDRを導入し、感染後の不審な挙動を検知して速やかに封じ込められるようにする。
エ提供元から入手した配布物のハッシュ値を公式の公開値と照合し、改ざんの有無を確かめてから適用する。
正解
ア.提供元や委託先を含む供給網全体の安全性を継続的に評価し、配布物や挙動の異常を早期に捉える。
本件は、信頼している提供元の正規の更新が侵害されて不正コードを運んでくるサプライチェーン攻撃である。自社単独の対策だけでは防ぎきれないため、提供元や委託先まで含めた供給網全体の安全性を継続的に評価・確認し、配布物の真正性や端末の不審な挙動を早期に捉えられる体制を整えることが、この種の攻撃に備える本質的な対策となる。
?選択肢ごとの解説
ア ○本件は、信頼している提供元の正規の更新が侵害されて不正コードを運んでくるサプライチェーン攻撃である。自社単独の対策だけでは防ぎきれないため、提供元や委託先まで含めた供給網全体の安全性を継続的に評価・確認し、配布物の真正性や端末の不審な挙動を早期に捉えられる体制を整えることが、この種の攻撃に備える本質的な対策となる。
イ ×検疫環境での試用は一部の不正動作を見つけ得るが、潜伏や条件起動するコードは見逃しやすく、提供元侵害という供給網全体の問題に正面から対処しない。
ウ ×EDRは感染後の挙動検知・封じ込めに有効だが事後対応中心であり、信頼された正規ルートからの混入を未然に防ぐ供給網側の備えにはならない。
エ ×ハッシュ照合は配布経路上の改ざん検知には有効だが、提供元自身が侵害され公式の配布物とハッシュごと不正コードが混入された本件では改ざんとして検出できない。
✎くわしく
サプライチェーン攻撃は、防御の固い標的を直接狙わず、信頼関係のある取引先・委託先・ソフトウェア提供元を踏み台にする。自社の境界防御だけでは『信頼された正規ルート』からの侵入を止められないため、委託先評価、配布物の真正性検証、ふるまい検知など、信頼の前提を点検する多層的な備えが求められる。
✓本番での押さえどころ
試験のコツ
『正規の更新・取引先経由で侵害』はサプライチェーン攻撃。対策は委託先・提供元を含む全体のセキュリティ評価と異常の早期検知。自社内限定・経路検証だけでは不足。
覚え方
サプライチェーン攻撃は『信頼する宅配業者の荷物に毒物』。自宅の鍵(自社対策)を強めても無駄で、配送網全体(サプライチェーン)を点検する。
よくある誤り
自社内の対策だけ、あるいは経路上の改ざん検知だけで防げると考える。提供元自身が侵害され『信頼している正規物』そのものに混入される点を見落とすと、供給網全体を見る視点が抜ける。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0189