基本情報技術者試験の公開問題を解こう！（令和5年度・科目B）（6）「情報セキュリティ」

問６ A 社は，放送会社や運輸会社向けに広告制作ビジネスを展開している。A 社は，人
事業務の効率化を図るべく，人事業務の委託を検討することにした。A 社が委託する
業務（以下，B業務という）を図1に示す。

・採用予定者から郵送されてくる入社時の誓約書，前職の源泉徴収票などの書類を PDF ファイルに変換し，ファイルサーバに格納する。
（省略）

図1 B業務

委託先候補のC社は，B業務について，次のようにA社に提案した。
・B業務だけに従事する専任の従業員を割り当てる。
・B業務では，図2の複合機のスキャン機能を使用する。
・スキャン機能を使用する際は，従業員ごとに付与した利用者IDとパスワードをパネルに入力する。
・スキャンしたデータをPDFファイルに変換する。
・PDFファイルを従業員ごとに異なる鍵で暗号化して，電子メールに添付する。
・スキャンを実行した本人宛てに電子メールを送信する。
・PDF ファイルが大きい場合は，PDFファイルを添付する代わりに，自社の社内ネットワーク上に設置したサーバ（以下，Bサーバという）1)に自動的に保存し，保存先のURLを電子メールの本文に記載して送信する。

注1) Bサーバにアクセスする際は，従業員ごとの利用者IDとパスワードが必要になる。
図2 複合機のスキャン機能（抜粋）

A 社は，C社と業務委託契約を締結する前に，秘密保持契約を締結した。その後，C
社に質問表を送付し，回答を受けて，業務委託での情報セキュリティリスクの評価を
実施した。その結果，図3の発見があった。

・複合機のスキャン機能では，電子メールの差出人アドレス，件名，本文及び添付ファイル名を初期設定1)の状態で使用しており，誰がスキャンを実行しても同じである。
・複合機のスキャン機能の初期設定情報はベンダーの Web サイトで公開されており，誰でも閲覧できる。

注1) 複合機の初期設定はC社の情報システム部だけが変更可能である。
図3 発見事項

そこで，A社では，初期設定の状態のままではA社にとって情報セキュリティリスクがあり，初期設定から変更するという対策が必要であると評価した。

設問
対策が必要であるとA社が評価した情報セキュリティリスクはどれか。解答群のうち，最も適切なものを選べ。

解答群
ア　 B 業務に従事する従業員が，攻撃者からの電子メールを複合機からのものと信じて本文中にあるURLをクリックし，フィッシングサイトに誘導される。その結果，A社の採用予定者の個人情報が漏えいする。
イ 　B 業務に従事する従業員が，複合機から送信される電子メールをスパムメールと誤認し，電子メールを削除する。その結果，再スキャンが必要となり，B 業務が遅延する。
ウ 　攻撃者が，複合機から送信される電子メールを盗聴し，添付ファイルを暗号化して身代金を要求する。その結果，A 社が復号鍵を受け取るために多額の身代金を支払うことになる。
エ 　攻撃者が，複合機から送信される電子メールを盗聴し，本文に記載されているURL を使って B サーバにアクセスする。その結果，A 社の採用予定者の個人情報が漏えいする。