情報セキュリティマネジメント試験 ①マルウェア感染への対応       平成29年春(2017)

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に次の事柄を勉強致します。

  • ランサムウェアの特徴
  • ランサムウェアの恐ろしさ
  • 攻撃者に金銭を支払った場合と支払わなかった場合について
  • 被害に遭わないためにデータの保存しかたについてルールの見直し
  • 復号について
  • バックアップについて

はじめに架空の会社の T 社の説明

T 社は従業員数 200 名の建設資材商社であり、本社と二つの営業所の 3 拠点がある。このうち、Q 営業所には、業務用 PC 30 台と NAS 1 台がある。
PC は、本社の情報システム課が管理しており、PC にインストールされているウイルス対策ソフトは定義ファイルを自動的に更新するように設定されている。
NAS は、Q 営業所の営業課と総務課が共有としており、課ごとにデータを共有しているフォルダと各個人に割り当てられたフォルダがある。個人フォルダの利用方法についての明確な取り決めはないが、PC のデータの一部を個人フォルダに複製して利用している者が多い。
Q 営業所と本社は、VPN で接続されており、営業所員は本社にある業務サーバ及びメールサーバにPC からアクセスして、受発注や出荷などの業務を行っている。なお、本社には本社の従業員が利用できるファイルサーバが設置されているがディスクの容量に制約があり、各営業所からは利用できない。
T 社には、各部及び各課の責任者並びに各営業所長をメンバとする情報セキュリティ委員会が設置されており、総務部担当役員が最高情報セキュリティ責任者に任命されている。又、情報セキュリティポリシも下図のように作成されている。

マルウェア感染

ある土曜日の午前 10 時過ぎ、自宅にいた A 課長は B さんからの電話を受けた。休日出勤していた B さんによると B さんの PC を起動して電子メールを確認するうちに、取引先からの出荷通知メールだと思ったメールの添付ファイルをクリックしたという。ところがその後、画面に見慣れないメッセージが表示され、B-PC の中のファイルや B さんの個人フォルダ内のファイルの拡張子が変更されてしまい、普段使用しているソフトウェアで開くことができなくなったという。これらのファイルには、B さんが手掛けている重要なプロジェクトに関する、顧客からの添付された図面、関連社内資料、建築現場を撮影した静止画像などが含まれていた。そこで、B さんは、T 社の情報セキュリティポリシに従って A 課長に電話をしたとの事であった。
A 課長は、B-PC にそれ以上触らずそのままにしておくように B さんに伝え取り急ぎ出社することにした。

画面を確認したところ、画面にはファイルを復元するための金銭を要求するメッセージと支払いの手順が表示されていた

A 課長は、マルウェア感染と判断し、K 所長に状況を報告、K所長は、インシデントの発生を宣言した。B さんは、A 課長の指示を受け、B-PC を NAS からと LAN ケーブルを抜いた。
その後、インシデント対応責任者の S 係長にも連絡した。

S 係長は、端末がロックされたり、ファイルが暗号化されたりすることによって端末やファイルの可用性が失われる点、それに、マルウェア感染した PC の利用者やサーバー管理者に対して脅迫を行うなどの状況からしてランサムウェアと呼ばれる種類のマルウェアに感染した可能性が高いと説明し、A 課長に、今後の対応協力と当該マルウェアに関する情報収集を依頼した。

A 課長は次の調査結果をまとめて K 所長に報告した。

金銭の受渡方法として、Bitcoin 、Tor を指定した。

感染後の対応

支払った場合には、データを確実に復元できるが、支払わなかった場合にはデータを復元できない可能性が高いという前提で想定される被害及び費用を下記に考えてみる。

Ⅰ 支払った場合にだけ、発生する又は、発生するおそれがあることがら
攻撃者から要求されている金額
犯罪を助長したという事実に起因する企業価値の喪失

Ⅱ 支払わなかった場合にだけ、発生する又は発生する恐れがあることがら
・自力でのデータ復元の試みに要する金額

T 社は、金銭を支払うことによって、自社への更なる攻撃につながる可能性がある。又、金銭を支払っても、ファイルを復号できる保証がない。などから支払いに応じるべきでは無いという対応を検討し、CISO の判断を仰ぐことにした。

社内の現状を見直す

T 社データの取扱いの問題点
・Q 営業所で NAS のデータのバックアップが実施されてなかった。
・業務で利用するデータについて、何を PC に保存し、何を NAS に保存するかなどが人によってまちまちで適切なルールがなかったこと。

今回、ランサムウェアに感染したことによって、ファイルが暗号化されてしまうという被害に備えたバックアップのあり方を下記のように検討した。

  1. NAS 上でも特に重要なフォルダについては、定期的に BD-R にデータを複製し、BD-R は鍵が掛かったキャビネットに保管する。
  2. NAS に定期的に別途ハードディスクドライブを追加接続してデータをアーカイブし、終了時にハードディスクドライブを取り外して保管する。
  3. バックアップした媒体からデータが正しく復元できるかテストをする。
  4. バックアップした媒体を二つ作成し、一つは営業所に、もう一つは別の安全な場所に保管する。

これらの提案は情報セキュリティ委員会で承認され、改善されることになった。

関連する用語

Bitcoin とは
ピアーツーピア型の通信によってやり取りされる仮想通貨です。ネットバンキングなどとは異なり、通貨の総額を管理する中央組織がありません。利用者同士が 1 対 1 の通信でやり取りを行います。利用者の身元確認ができない点を利用して不正な金銭を取引するため利用さることがあります。

Tor とは
インターネット上で接続経路の匿名化を行う規格を使って、攻撃者は、通信の都度、ランダムに選んだ複数の Tor サーバーを使用し送信元を分からなくしたものです。

学習の確認

  • ランサムウェアの特徴
  • ランサムウェアの恐ろしさ
  • 攻撃者に金銭を支払った場合と支払わなかった場合について
  • 被害に遭わないためにデータの保存しかたについてルールの見直し
  • 復号について
  • バックアップについて