基本情報技術者試験「標的型攻撃」の問題
K社のセキュリティ担当者は、標的型攻撃の準備段階で攻撃者が公開情報を収集していることを警戒している。調査の結果、社員が業務用メールアドレスの命名規則や所属部署、利用システム名などを、SNSや外部の登壇資料で詳細に公開していることが分かった。攻撃前の偵察で悪用される情報を減らす対策として、最も適切なものはどれか。
ア外部から自社へのメールにDMARCを適用し、なりすましメールを受信時に拒否・隔離できるようにする。
イ自社サーバのログ保存期間を延長し、過去の通信記録をより長くさかのぼって参照できるようにする。
ウ外部に公開してよい情報の基準を定め、命名規則やシステム名など内部情報の不用意な公開を抑え込む。
エ標的型メールを模した訓練を定期的に実施し、社員が不審なメールを開かず通報できるよう習熟させる。
正解
ウ.外部に公開してよい情報の基準を定め、命名規則やシステム名など内部情報の不用意な公開を抑え込む。
標的型攻撃の偵察段階では、攻撃者は公開情報(OSINT)からメールアドレスの命名規則、組織構成、利用システムなどを収集し、攻撃メールの精度を高める。外部に公開してよい情報の基準(ガイドライン)を定め、命名規則やシステム名といった内部情報の不用意な公開を抑えれば、攻撃者が偵察で得られる手がかりそのものを減らせる。原因(内部情報の過剰な公開)に直接対応している。
?選択肢ごとの解説
ア ×DMARCはなりすましメールの受信時検証・排除に有効だが、攻撃が来る前の偵察段階で外部に晒されている内部情報の量を減らすものではない。
イ ×ログ保存期間の延長は事後の調査に役立つが、攻撃前の偵察で外部に晒されている情報を減らすことにはならない。
ウ ○標的型攻撃の偵察段階では、攻撃者は公開情報(OSINT)からメールアドレスの命名規則、組織構成、利用システムなどを収集し、攻撃メールの精度を高める。外部に公開してよい情報の基準(ガイドライン)を定め、命名規則やシステム名といった内部情報の不用意な公開を抑えれば、攻撃者が偵察で得られる手がかりそのものを減らせる。原因(内部情報の過剰な公開)に直接対応している。
エ ×標的型メール訓練は偵察後に届く攻撃メールへの社員の対処力を高める策であり、偵察で収集される公開情報そのものを減らす対策ではない。
✎くわしく
攻撃の最初の段階である偵察では、攻撃者は技術的侵入の前に公開情報を広く集める。組織が無自覚に公開する命名規則・組織図・利用製品名などは、なりすましメールや認証情報推測の材料になる。防御は『何を公開してよいかの基準づくりと教育』により、攻撃面となる情報露出を減らすことが効果的である。
✓本番での押さえどころ
試験のコツ
標的型攻撃の偵察(OSINT)対策は、外部公開情報の管理基準と教育で手がかりを減らすこと。ログ延長や受信時の対策は偵察そのものへの対策ではない。
覚え方
偵察は『下見』。空き巣に間取り(内部情報)を教えないよう、何を見せてよいかルール化する。
よくある誤り
偵察対策と、偵察後に来る攻撃メールへの対策(DMARC・標的型訓練)を混同する。偵察段階そのものは『公開情報の露出を減らす』運用で対処する点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0191