情報セキュリティマネジメント試験 令和元年秋(2019)午後 ②アカウント乗っ取り

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. どんな名前の攻撃でしたか?
  2. グループチャットで、なりすましが起きた場合の被害を想定する。
  3. 組織で不正アクセスが起きた場合の対応を確認する。
  4. 被害に遭わないための対策は?
  5. フィッシング対策協議会とは



はじめに架空の会社 P 社の説明

P 社は、従業員数 300 名の食品メーカーである。東京に本社があり、関東に営業所と工場が点在している。本社には、製造部、流通管理部、営業部、情報システム部などがある。営業所は、営業部の管轄であり、担当地区の取引店への営業、配送管理などを担当している。Q 県を担当する R 営業所には、所長と副所長の他に 15 名の営業担当者、2 名の流通担当者、2 名の事務担当者が配置されている。

P 社では、全従業員が基盤情報システムを利用して日々の業務を行っている。基盤情報システムは、サーバ、ネットワーク及び各従業員に貸与しているノート PC 、デスクトップ PC 、スマートフォンから構成されている。

VPN サーバ及びプロキシサーバ

  • セキュリティベンダが提供する。悪意のあるサイトへのアクセスを遮断する URL フィルタリングサービスが導入されている。
  • アクセス成功とアクセス失敗の両方に関して、アクセス先 URL 、アクセス元 IP アドレス、アクセス日時及ぼ成否がアクセスログに記録され、直近 3 か月分が保存される。
  • 設定の変更及びログの確認は、情報システム部だけが行える。

ファイルサーバ

  • 営業所ごとに、業務で利用するファイルを保存するためのファイルサーバがあり、従業員は
    所属する営業所のファイルサーバだけを利用する。

V サービス利用ルール

  1. 利用者 ID には、自身の P 社のメールアドレスを登録すること
  2. GC で送信する全てのファイルをパスワードで保護すること。
  3. Vサービスのパスワード及びファイルを保護するためのパスワードは、他人に推測されにくく、
    他のサービスのパスワードとして利用していない文字列にすること
  4. V サービスのパスワードは他人に知られないように適切に管理すること
  5. ファイルを保護するためのパスワードは、V サービスのパスワードとは別の文字列を利用し、
    ファイルを送信した GC 内で別のメッセージとして送信すること

チャットサービス

P 社では、製造した食品の取引店への配達を、配送業者に委託している。交通事情などによって配送が遅延する場合、配送業者は、各営業所の流通担当者に電子メールで連絡する。配送業者から連絡を受けた流通担当者は、メールで営業担当者に連絡し、営業担当者が各顧客に連絡している。

R 営業所が担当する地域では、交通事情による遅延の頻度が高いので、流通担当者が営業担当者にメールを見たかどうかを電話で確認することも多く、連絡の煩雑さが問題となっている。R 営業所の流通担当者 K さんは、この問題を解決するために、V 社が提供している SaaS 形式のチャットサービスを配送の連絡に利用すること、及び業務効率化のために V サービスを R 営業所におけるその他の連絡にも利用することを A 所長に提案した。A 所長はこの提案を P 社委員会に諮り、承認を得た。

R 営業所で利用する GC(グループチャット)
GC-1 管理職
GC-2 R 営業所
GC-3 営業
GC-4 配送

チャットサービスの機能

1.基本機能
利用者は、PC、Webブラウザ、スマホのWebブラウザ、又は、V サービスからアクセスできる。

2.ワークスペース(WS)
利用者は、WS を作成する事ができる。

3.グループチャット
WS 管理者は、文字列メッセージとファイル送信ができる GC(グループチャット)を作成し、WS
参加者を GC に参加させることができる。

4.セキュリティ機能
・V サービスへの接続には、HTTP Over TLS を使用する。
・各利用者のアカウントは、メールアドレスの利用者 ID を登録し、パスワードは、英大文字、
小文字、数字、記号を組み合わせ 8 文字以上を使用する。
・利用者は、V 認証機能や、 V 省略機能のオプションとして有効にすることができる。

V 認証機能:V サービスにログインする時に利用者 ID とパスワードによる認証に加え、更にあらかじめ登録しておいたスマホに SMS で送信される 6 桁の数字を入力することによりログインできる方法。
V 省略機能:同じ端末での 2 度目以降のログインで、追加利用者認証を 30 日間省略できる。

インシデントの発生

7 月 3 日 15 時 5 分、営業担当者である D さんから 下記の GC メッセージが送られてきた。

不審に思ったので、K さんは、D さんが V サービスを使って GC メッセージを K さんに送信したかどうかを確認しようと思いましたが、K さんもパスワードを摂取されるかも?と判断して電話で確認しました。

D さんになりすました何者かが D さんのアカウントで不正なログインをしたおそれがありますね。
A 所長はインシデントの発生を宣言し V サービスの GC を利用しないよう R 営業所の全従業員に通知するとともに、CISO 及び L 課長に報告した。

また、B 副所長は、他の人も被害にあわないように、D さんに V サービスのパスワードを変更するよう指示し、R 営業所の全従業員に、URL-P にアクセスした人は、B 副所長に報告するよう指示し、R 営業所の全従業員に、URL-P にアクセスしないよう指示して、被害拡大の防止策を実施した。

被害状況の把握と影響範囲の調査

課長と副所長の会話

GC メッセージ中の URL は V サービスの URL ではありませんでした。(以下、URL-Pという)
社内の VPN サーバ及びプロキシサーバのログを調べて、悪意のあるサイトの URLが記録にされている可能性があるので確認してみましたが該当する記録はありませんでした。

R 営業所の従業員のうち、悪意のあるサイトにログインした可能性のある営業担当者に URL-P にアクセスしたかどうかもヒアリングしましたが、全員がアクセスしていないという回答でした。

D さんのアカウントへの不正ログインによる情報漏洩の有無はどうでしたか?

事務担当者からの報告によると、なりすまし者がアクセスした可能性のある GC-2、GC-3、GC-4 の GC メッセージを調査した結果、P 社の業務に関する情報はありましたが、会社が秘密と規定した情報は含まれていませんでした。

しかし、現時点で、確認可能は GC メッセージの調査だけでは十分な調査とはいえません。それは、不正ログイン中、閲覧可能であったので、GC メッセージを削除した可能性もあります。

ところで、GC に送信されたファイルはどうでしたか?

10ファイルありましたが全て V サービス利用ルールを満たしたパスワードで保護されていました。

パスワードで保護されていても、(V サービス利用ルールで、ファイルを保護するためのパスワードはファイルを送信した GC 内で別のメッセージとして送信することと決まっている。)なりすまし者が、GC メッセージから特定して、ファイルの内容を閲覧できたと思われます。ファイルにはとのような情報が含まれていたのでしょうか?

業務に関する情報は含まれていましたが、秘密情報は含まれていませんでした。

原因調査

課長と副所長の会話

D さんにヒアリングしたところ、V サービスにアクセスしてアカウントの確認をするように求めるメールが V サービスから来たので、すぐに NPC でメール中の URL (以下、URL-R という)にアクセスし、メールアドレスとパスワードを入力した。とのことでした。
調べてみるとメールの時刻は、7 月 31 日 11 時 22 分でした。

URL-R はフィッシングサイトと考えられます。URL-P と URL-R は、D さんが URL-R にアクセスした時点では、URL フィルタリングサービスに悪意のあるサイトの URL として登録されていませんでした。しかし、現在は登録されていますし、フィッシング対策協議会のサイトに緊急情報として掲載されています。

D さんが利用していた NPC は、証拠として保全し、NPC-D を初期化し、セキュリティ修正プログラムを適用してから、文書作成ソフトなどアプリケーションソフトを再インストールするという対応を行うので詳細調査に 1 週間は掛かります。

NPC-D のパソコンを初期化すると保存されているデータが消去されてしまいます。又、1 週間掛かると、D さんが業務に使えないので詳細調査の期間だけ、新たな NPC を手配し貸与する必要があります。

R 営業所での V サービス利用における問題点と対策

問題点 1
URL-R が悪意のあるサイトの URL として URL フィルタリングサービスに登録されるよりも前に、Dさんが URL-R にアクセスしてしまった。
対策
従業員が Web ブラウザから V サービスにアクセスするときは、必ずブックマークからアクセスすることを確実に実施する。フィッシング対策に関する従業員研修を実施する。

問題点 2
利用者認証に利用者 ID とパスワードだけを利用していたので不正ログインされてしまった。
対策
V認証機能を有効にする。
V サービスにログインする時に利用者 ID とパスワードによる認証に加え、更にあらかじめ登録しておいたスマホに SMS で送信される 6 桁の数字を入力することによりログインできる方法

問題点 2 の対策では、ログインが煩雑になり利便性が低下してしまうことを懸念しています。
これには、V サービスが機能として備えている V 認証機能や V 省略機能を有効に活用することにすれば、利便性も保たれます。

今後の対策を A 所長に報告し、承認を得た。その後、必要な対策を実施し、V サービスの業務利用を再開し、P 社全体に導入され、業務効率向上に貢献した。



関連する用語の説明

VPN
Virtual Private Network の略称で仮想専用線と訳します。 インターネット上で利用者専用の仮想的なプライベートネットワークを構築することで、セキュリティ上の安全性を担保して通信を行う技術です。 インターネット上でデータを安全にやり取りするためには、Webベースの暗号化接続方式であるSSL通信や物理的な専用線の構築が使われてきました。

プロキシサーバ
インターネット上のサーバに組織内のパソコンが直接アクセスすると、そのパソコンの IP アドレスなどが外部に知られて、不正アクセスなどの危険性が増大します。又、パソコンが直接インターネットにアクセスできる状況では、悪意のある Web サイトに不思議にアクセスしてマルウェアに感染するなどの問題が発生します。そこで、プロキシサーバの IP アドレスだけを外部に出して安全性を高めます。又、URL フィルタリング機能を持つものもあります。

フィルタリング機能
公序良俗に反するWebサイトや、マルウェアなどに感染する恐れがある危険なWebサイト。また、業務とは無関係なWebサイト全般を含むアクセスを阻止する仕組みです。

フィッシング
金融機関などからの正規のメールや Web サイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺。

フィッシング対策協議会
フィッシング対策協議会 Council of Anti-Phishing Japan (antiphishing.jp)

ワークスペース
V サービス内に作業できる場所を作成するものです。ワークスペースは複数作成することができ、それぞれ仮想的な作業場所として機能します。

チャットサービス
Webサイト・Webシステム・SNS等にチャットウィンドウを設置して、ユーザーと対話方式でリアルタイムのコミュニケーションを行なうことができるサービス。




学習の確認

  1. どんな名前の攻撃でしたか?
  2. グループチャットで、なりすましが起きた場合の被害を想定する。
  3. 組織で不正アクセスが起きた場合の対応を確認する。
  4. 被害に遭わないための対策は?
  5. フィッシング対策協議会とは