問題
問6
A社は、放送会社や運輸会社向けに広告制作ビジネスを展開している。A社は、人事業務の効率化を図るべく、人事業務の委託を検討することにした。A社が委託する業務(以下、B業務という)を図1に示す。
委託先候補のC社は、B業務について、次のようにA社に提案した。
- B業務だけに従事する専任のC社従業員を割り当てる。
- B業務では、図2の複合機のスキャン機能を使用する。
A社は、C社と業務委託契約を締結する前に、秘密保持契約を締結した。その後、C社に質問表を送付し、回答を受けて、業務委託での情報セキュリティリスクの評価を実施した。その結果、図3の発見があった。
そこで、A社では、初期設定の状態のままではA社にとって情報セキュリティリスクがあり、初期設定から変更するという対策が必要であると評価した。
設問
対策が必要であるとA社が評価した情報セキュリティリスクはどれか。解答群のうち、最も適切なものを選べ。
- B業務に従事する従業員が、攻撃者からの電子メールを複合機からのものと信じて本文中にあるURLをクリックし、フィッシングサイトに誘導される。その結果、A社の採用予定者の個人情報が漏えいする。
- B業務に従事する従業員が、複合機から送信される電子メールをスパムメールと誤認し、電子メールを削除する。その結果、再スキャンが必要となり、B業務が遅延する。
- 攻撃者が、複合機から送信される電子メールを盗聴し、添付ファイルを暗号化して身代金を要求する。その結果、A社が復号鍵を受け取るために多額の身代金を支払うことになる。
- 攻撃者が、複合機から送信される電子メールを盗聴し、本文に記載されているURLを使ってBサーバにアクセスする。その結果、A社の採用予定者の個人情報が漏えいする。
[出典:基本情報技術者試験 令和5年度(科目B) 問6]
スポンサーリンク
正解
正解は「ア」です。
解説
この問題は、業務委託における情報セキュリティリスクを適切に識別できるかを問う内容です。A社がC社に業務を委託するにあたって、複合機のスキャン機能を使ってPDF化した書類を自動的にサーバへ保存し、そのURLを電子メールで送信する仕組みを採用しようとしていました。
ところが、この複合機のスキャン機能では、電子メールの送信者(差出人)や件名、本文などが初期設定のままで共通しており、どの従業員がスキャンを実行したかが分からないという問題点が見つかりました。つまり、どのメールが本物でどのメールが偽物なのか、判別が非常に難しい状況です。
この状態を放置すると、攻撃者が複合機を装ったフィッシングメール(本物そっくりの偽メール)を送信しても、従業員がそれを見破れず、本文中のURLをクリックしてしまうおそれがあります。これは「フィッシング攻撃」と呼ばれ、個人情報や社内システムの認証情報が漏れる深刻なリスクとなります。
選択肢「ア」では、まさにこの事態が説明されており、「攻撃者からのメールを複合機からのものと信じてURLをクリックし、フィッシングサイトに誘導され、結果的にA社の個人情報が漏洩する」と記述されています。この内容が、A社が指摘した「初期設定のままでは危険であり、設定変更が必要」という判断に直結するものです。
よって、「ア」が最も適切な選択肢であり、正解です。
イ(複合機から送信される電子メールをスパムと誤認):
誤認によって業務が遅延するのは業務効率上の問題であり、A社が指摘した「セキュリティリスク」には当たりません。
ウ(電子メールを盗聴し、添付ファイルを暗号化):
これはいわゆるランサムウェア攻撃のような内容ですが、本文には「盗聴」できる脆弱性は示されておらず、設定変更で対応すべき内容でもありません。
エ(URLを使ってBサーバにアクセス):
メール本文のURLを利用される脅威は確かに存在しますが、A社が問題視したのは「差出人や件名などが共通で偽装しやすい」点であり、エのように盗聴が前提の攻撃は今回のリスク評価の焦点とはずれます。
難易度
この問題は、情報セキュリティのリスクを特定する実務的な判断力が問われます。文章量が多く、複数の情報を整理して正確に理解する必要がありますが、フィッシング攻撃や初期設定のセキュリティ弱点といった基本知識があれば対応可能です。難易度は「やや難しい」レベルです。
スポンサーリンク
用語補足
フィッシング攻撃:
本物を装った偽のメールやWebサイトで利用者をだまし、IDやパスワードなどの情報を盗み取る攻撃手法です。
盗聴(スニッフィング):
ネットワーク上の通信を第三者がこっそり覗き見る行為で、暗号化されていない通信は特に狙われやすいです。
初期設定(デフォルト設定):
機器やソフトウェアに最初から設定されている値で、セキュリティ対策が不十分なまま使われるとリスクになります。
対策
複合機やメールサーバなどを導入した際は、初期設定をそのまま使わずに、パスワード・送信者情報・件名などをセキュアなものに変更することが重要です。また、フィッシング対策として、メールの正当性を判断する教育もあわせて実施すべきです。
