基本情報技術者試験の公開問題を解こう!(令和5年度・科目B)(6)「情報セキュリティ」

スポンサーリンク
IT系

基本情報技術者試験の令和5年度の公開問題(科目B)を解いてみよう。

問6 A 社は,放送会社や運輸会社向けに広告制作ビジネスを展開している。A 社は,人
事業務の効率化を図るべく,人事業務の委託を検討することにした。A 社が委託する
業務(以下,B業務という)を図1に示す。

・採用予定者から郵送されてくる入社時の誓約書,前職の源泉徴収票などの書類を PDF ファイルに変換し,ファイルサーバに格納する。
(省略)

図1 B業務

委託先候補のC社は,B業務について,次のようにA社に提案した。
・B業務だけに従事する専任の従業員を割り当てる。
・B業務では,図2の複合機のスキャン機能を使用する。
・スキャン機能を使用する際は,従業員ごとに付与した利用者IDとパスワードをパネルに入力する。
・スキャンしたデータをPDFファイルに変換する。
・PDFファイルを従業員ごとに異なる鍵で暗号化して,電子メールに添付する。
・スキャンを実行した本人宛てに電子メールを送信する。
・PDF ファイルが大きい場合は,PDFファイルを添付する代わりに,自社の社内ネットワーク上に設置したサーバ(以下,Bサーバという)1)に自動的に保存し,保存先のURLを電子メールの本文に記載して送信する。

注1) Bサーバにアクセスする際は,従業員ごとの利用者IDとパスワードが必要になる。
図2 複合機のスキャン機能(抜粋)

A 社は,C社と業務委託契約を締結する前に,秘密保持契約を締結した。その後,C
社に質問表を送付し,回答を受けて,業務委託での情報セキュリティリスクの評価を
実施した。その結果,図3の発見があった。

・複合機のスキャン機能では,電子メールの差出人アドレス,件名,本文及び添付ファイル名を初期設定1)の状態で使用しており,誰がスキャンを実行しても同じである。
・複合機のスキャン機能の初期設定情報はベンダーの Web サイトで公開されており,誰でも閲覧できる。

注1) 複合機の初期設定はC社の情報システム部だけが変更可能である。
図3 発見事項

そこで,A社では,初期設定の状態のままではA社にとって情報セキュリティリスクがあり,初期設定から変更するという対策が必要であると評価した。

設問
対策が必要であるとA社が評価した情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。

解答群
ア  B 業務に従事する従業員が,攻撃者からの電子メールを複合機からのものと信じて本文中にあるURLをクリックし,フィッシングサイトに誘導される。その結果,A社の採用予定者の個人情報が漏えいする。
イ  B 業務に従事する従業員が,複合機から送信される電子メールをスパムメールと誤認し,電子メールを削除する。その結果,再スキャンが必要となり,B 業務が遅延する。
ウ  攻撃者が,複合機から送信される電子メールを盗聴し,添付ファイルを暗号化して身代金を要求する。その結果,A 社が復号鍵を受け取るために多額の身代金を支払うことになる。
エ  攻撃者が,複合機から送信される電子メールを盗聴し,本文に記載されているURL を使って B サーバにアクセスする。その結果,A 社の採用予定者の個人情報が漏えいする。

正解:ア

この問題は、情報セキュリティリスクに関する理解を問うものである。

問題の背景

A社は、人事業務(B業務)を外部のC社に委託しようとしている。その中には、採用予定者の誓約書や前職の源泉徴収票をPDF化して格納・送信する作業が含まれる。

C社は、PDF化に複合機のスキャン機能を使うと提案しており、そのメール送信機能の初期設定に問題があると発見された。

  • 誰がスキャンしても、送信メールの差出人・件名・添付ファイル名などが初期設定のままで同一。
  • この初期設定情報はネット上で公開されている。

A社が懸念したリスク

この設定のままだと、例えば以下のような問題が起こり得る。

  • 攻撃者が初期設定を悪用して、複合機になりすました偽のメールを作成できてしまう。
  • メール本文内のURLをクリックすると、本物のように見えるが偽物のBサーバに誘導される(フィッシング)
  • その結果、採用予定者の個人情報(PDFファイルなど)が漏洩するリスクがある。

選択肢の検討

それぞれの選択肢を検討しよう。

ア 正しい。✅

攻撃者からの電子メールを複合機からのものと信じてURLをクリックし、フィッシングサイトに誘導される → 個人情報漏洩。

まさにこの問題で指摘されている「初期設定のまま=なりすましが容易」というリスクに該当
最も適切なリスク評価

イ 誤り。

スパムと誤認してメールを削除 → 業務遅延。

→ これはセキュリティというより、業務効率の問題である。

ウ 誤り。

メールを盗聴し、ファイルを暗号化して身代金要求。

→図3にはメールが盗聴されるリスクの記述はない。

→図2よりPDFファイルを従業員ごとに異なる鍵で暗号化されている。

したがって、セキュリティリスクはない。

エ 誤り。

メール本文のURLからBサーバにアクセス → 個人情報漏洩。

→図3にはメールが盗聴されるリスクの記述はない。

→図2よりBサーバにアクセスする際は、従業員ごとの利用者IDとパスワードが必要になるので、漏洩リスクは低い。

したがって、セキュリティリスクはない。

コメント

タイトルとURLをコピーしました