基本情報技術者令和5年 [科目B]問6

問6

A社は,放送会社や運輸会社向けに広告制作ビジネスを展開している。A社は,人事業務の効率化を図るべく,人事業務の委託を検討することにした。A社が委託する業務(以下,B業務という)を図1に示す。
  • 採用予定者から郵送されてくる入社時の誓約書,前職の源泉徴収票などの書類をPDFファイルに変換し,ファイルサーバに格納する。
    (省略)
 委託先候補のC社は,B業務について,次のようにA社に提案した。
  • B業務だけに従事する専任の従業員を割り当てる。
  • B業務では,図2の複合機のスキャン機能を使用する。
  • スキャン機能を使用する際は,従業員ごとに付与した利用者IDとパスワードをパネルに入力する。
  • スキャンしたデータをPDFファイルに変換する。
  • PDFファイルを従業員ごとに異なる鍵で暗号化して,電子メールに添付する。
  • スキャンを実行した本人宛てに電子メールを送信する。
  • PDFファイルが大きい場合は,PDFファイルを添付する代わりに,自社の社内ネットワーク上に設置したサーバ(以下,Bサーバという)1)に自動的に保存し,保存先のURLを電子メールの本文に記載して送信する。
1) Bサーバにアクセスする際は,従業員ごとの利用者IDとパスワードが必要になる。
 A社は,C社と業務委託契約を締結する前に,秘密保持契約を締結した。その後,C社に質問表を送付し,回答を受けて,業務委託での情報セキュリティリスクの評価を実施した。その結果,図3の発見があった。
  • 複合機のスキャン機能では,電子メールの差出人アドレス,件名,本文及び添付ファイル名を初期設定 1)の状態で使用しており,誰がスキャンを実行しても同じである。
  • 複合機のスキャン機能の初期設定情報はベンダーのWebサイトで公開されており,誰でも閲覧できる。
1) 複合機の初期設定はC社の情報システム部だけが変更可能である。
 そこで,A社では,初期設定の状態のままではA社にとって情報セキュリティリスクがあり,初期設定から変更するという対策が必要であると評価した。


設問 対策が必要であるとA社が評価した情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。
  • B業務に従事する従業員が,攻撃者からの電子メールを複合機からのものと信じて本文中にあるURLをクリックし,フィッシングサイトに誘導される。その結果,A社の採用予定者の個人情報が漏えいする。
  • B業務に従事する従業員が,複合機から送信される電子メールをスパムメールと誤認し,電子メールを削除する。その結果,再スキャンが必要となり,B業務が遅延する。
  • 攻撃者が,複合機から送信される電子メールを盗聴し,添付ファイルを暗号化して身代金を要求する。その結果,A社が復号鍵を受け取るために多額の身代金を支払うことになる。
  • 攻撃者が,複合機から送信される電子メールを盗聴し,本文に記載されているURLを使ってBサーバにアクセスする。その結果,A社の採用予定者の個人情報が漏えいする。

分類

情報セキュリティ » 情報セキュリティ

正解

解説

  • 正しい。複合機のメール送信が初期設定のまま行われていて、その情報は誰でも見られる状態になっているため、それを知っている第三者から攻撃メールが送られてきた場合、何も疑わずにそのまま開いてしまう可能性が高いです。攻撃者は、マルウェアを添付ファイルにして、またはフィッシングサイトのURLを記載したメールを送信することによって、C社を攻撃することが可能です。
  • 初期設定のままであり、誰がスキャンを実行してもメールの内容は同じなので、スパムメールと判断する材料もありません。よって、スパムメールとして削除されることはないと言えます。
  • もし電子メールが盗聴に遭い添付ファイルが窃取されてしまっても、従業員ごとに異なる鍵で暗号化されているため、その内容を知られることはありません。再度スキャンすればよいだけなので復号鍵のために金銭を支払う必要はなく、また情報漏えいについて身代金を要求してきても、攻撃者は復号できないため応ずる必要はないと言えます。
  • Bサーバは、自社の社内ネットワークに設置されているため、攻撃者が電子メール中のURLをクリックしても、外部からBサーバにアクセスすることはできません。
© 2010-2024 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop