情報処理安全確保支援士 2017年 秋期 午後1 問01

解答の論理構成

1. タイムラインには暗号化が行われた時刻が多数並んでいます。たとえば表1の No.7 では「8:32　提案書.docx ファイルが暗号化された。」と記載されています。
2. 本文には、暗号化の動作について「ランサムウェア X は、アクセス可能なドライブをドライブレターのアルファベット順に探し、見つけたドライブ内のファイルを暗号化して上書き保存します。」という記述があります。
   • 「上書き保存」= 同じファイルに対する書込みであり、OS が更新日時（Last Write Time）を変更します。
3. 下線①の「破損した出荷指示ファイル」は削除されておらず、「別のフォルダに移動しておいた」とあるため、作成日時・削除日時では暗号化直前の瞬間を捉えられません。アクセス日時も暗号化以外の操作で変動する可能性が高く、タイムラインの根拠には不向きです。
4. したがって、暗号化が実行された瞬間を正確に示すタイムスタンプは「更新日時」であり、解答群の「イ：更新日時」が適切です。

誤りやすいポイント

• 「暗号化された＝新しいファイルが生成された」と早合点し「エ：作成日時」を選ぶ。実際には上書きなので作成日時は変わりません。
• 「ファイルにアクセスしたのだからアクセス日時」と考えるケース。アクセス日時は読み取りだけでも変わるため、暗号化専用の根拠にはなりません。
• 「移動したので削除日時が残る」と誤解する例。ファイル移動は削除ではなくリンク情報の更新なので削除日時は付与されません。

FAQ

解答の論理構成

1. 添付ファイル名偽装の仕組み
   • 【問題文】には「ファイル名に Unicode 制御文字のaが使われていたので、実際のファイル名は invoice.fdp.exe であるが、表示上は invoice.exe.pdf となっていた。」とあります。
   • 表示順序を逆転させる Unicode 制御文字は “Right-to-Left Override” です。選択肢で該当するのは「オ：RLO」なので、a＝オ となります。
2. メールの経路を調べるヘッダ
   • 【問題文】には「メールヘッダのbフィールドで、経由したメールサーバを調べたところ、社外から送信されていた」とあります。
   • SMTP ではメールを中継するたびに “Received:” 行が追加され、送信元や経路を追跡できます。選択肢で該当するのは「エ：Received」なので、b＝エ となります。
3. よって解答は
   • a：オ
   • b：エ

誤りやすいポイント

• 「BOM」と混同
  UTF-8 などのバイト順マークは表示順を左右しないため今回の偽装には無関係です。
• 「X-Mailer」ヘッダと勘違い
  送信メールクライアントを示すだけで中継経路は分かりません。
• “Content-Type” や “CRLF” に着目
  MIME 型や改行コードは本文構造の話であり、経路解析には直接使いません。

FAQ

解答の論理構成

• 【問題文】には「ジョブのログには、バックアップの開始と終了の時刻…が記録される。」とあります。
• 感染開始時刻より前に取得されたバックアップであれば、暗号化される前の正常データが残っています。
• ところがバックアップは「1時間に1回、毎時0分に開始」され、ファイル量によって終了時刻が変動します。開始時刻だけを基準にすると、処理が長引いている最中に感染が発生していた可能性を排除できません。
• したがって比較対象にするのは、実際にバックアップが完了したことを示す「終了時刻」です。
• 以上より、感染開始時刻と比較すべきものは「バックアップ終了時刻」と導かれます。

誤りやすいポイント

• バックアップジョブの「開始時刻」を基準にしてしまう
  → 開始後に暗号化が走ると、取得済みファイル群に汚染ファイルが含まれる危険があります。
• 「バックアップ取得時刻」「バックアップ実行時刻」など曖昧な表現を書く
  → 記録されているのは開始と終了の2種類。設問はどちらかを求めているため、不明確だと減点対象です。
• タイムライン上の「暗号化完了（9:40）」と比較すると思い込む
  → 感染開始（8:30）より前に復元可能な世代を探すので、暗号化完了時刻は直接の判断材料になりません。

FAQ

解答の論理構成

1. 疑問点の整理
   • 本文には、Dサーバは“感染した形跡はありません”とある一方で、③D サーバ上のファイルが暗号化されたと記述されています。
2. 営業用PCの設定を確認
   • 「“B社の全てのPCは、ログオン時に、Dサーバへも一般利用者権限で自動的にログオンされ、Dサーバ上の共有フォルダがWindowsのファイル共有機能を使って各PCのDドライブとして自動的に割り当てられる。」
   • つまり営業用PCから見ると、Dサーバの共有フォルダは“ネットワークドライブ（D:）”として常時マウントされています。
3. ランサムウェアXの動作仕様を確認
   • J氏の説明に「ランサムウェア X は、アクセス可能なドライブをドライブレターのアルファベット順に探し、…内蔵ドライブ、外付けドライブ、ネットワークドライブが対象です。」とあります。
   • ネットワークドライブも内蔵ドライブと同列に暗号化対象となる点がポイントです。
4. 因果関係の導出
   • 営業用PC05でマルウェアが動くと、ローカルのC: や外付けのE: と同様に、ネットワークドライブD:（実体はDサーバ上の共有フォルダ）が検出・暗号化されます。
   • その結果、Dサーバ自体にマルウェアは存在しなくても、共有フォルダ内のファイルは暗号化されました。
5. 以上をまとめると
   • 営業用PCの設定：共有フォルダをネットワークドライブとして自動割当。
   • ランサムウェアXの特徴：ネットワークドライブ内のファイルも暗号化対象。

誤りやすいポイント

• 「Dサーバが感染した」と誤読しやすい
  感染せずとも“ファイルだけ暗号化”されるケースを押さえる必要があります。
• “ネットワークドライブは安全”という思い込み
  多くの受験者がローカルドライブのみを暗号化対象と想定しがちです。
• アクセス権限の勘違い
  一般利用者権限でも“書き込み可”なドライブであれば暗号化は実行されます。

FAQ

解答の論理構成

1. 感染元と拡大経路の確認
   表1 No.6 で「invoice.fdp.exe が実行された。」後、No.7〜No.8 にかけて暗号化対象が営業用 PC05 ➔ 「9:11　出荷指示_01_00001.csv ファイルが暗号化された。」と Dサーバに広がっています。
2. ランサムウェア X の動作仕様
   　J氏は「ランサムウェア X は、アクセス可能なドライブをドライブレターのアルファベット順に探し、見つけたドライブ内のファイルを暗号化して上書き保存します。」と説明しています。営業用 PC05 では Dドライブ（Dサーバ）と Gドライブ（Gサーバ）がネットワークドライブとして割り当てられているため、ネットワークが有効なままでは両サーバの共有フォルダも暗号化対象になります。
3. 切り離しのタイミングと影響
   　設問は「ランサムウェアXが起動した直後に…営業用PC05をネットワークから切り離していれば」と条件を与えています。起動直後＝PC05 内部の暗号化開始前後に遮断すれば、ドライブレター探索時に D:／G: が見えなくなるのでサーバ側は暗号化されません。
4. 防げた被害
   　以上より、ネットワークドライブ上にある「Dサーバ」と「Gサーバ」のファイル暗号化を阻止できた、という結論になります。

誤りやすいポイント

• PC05 側のファイル暗号化も止められると誤解する
  → PC05 はネットワーク遮断前でもローカルに接続しているため暗号化は実行済み。
• 「Dサーバだけ」と答えてしまい Gサーバを失念する
  → ランサムウェア X は Gドライブも順番に探索するため両方が被害。
• 「ネットワーク遮断すればマルウェア感染自体を防げる」と考える
  → 感染は既に完了しており、遮断は拡大防止策に過ぎない。

FAQ

解答の論理構成

1. 出荷担当者グループ
   • 引用：「全ての出荷指示ファイルは、出荷担当者が内容の確認と更新をすることができる。」
   • 更新（“出荷処理中”“出荷完了”へのステータス変更）も業務要件です。
   • よって【読み：可】【書き：可】 → c＝可、d＝可。
2. 営業担当者グループ
   • 引用：「営業担当者及び本社スタッフが…出荷指示ファイルを閲覧し、最新の出荷状況を確認する。ただし、内容を確認するだけで更新はしない。」
   • 閲覧のみで充分。書き込みは不要であり、ランサムウェア被害拡大防止の観点からも削除すべき。
   • よって【読み：可】【書き：不可】 → e＝可、f＝不可。
3. 本社スタッフグループ
   • 引用：「業務APでは、出荷指示情報が登録されるとDサーバ上の共有フォルダに…ファイルを1ファイルとして出力する。」
   • ファイル作成は“業務AP”がサーバ側処理として行うため、利用者としての本社スタッフは閲覧権だけで支障なし。
   • したがって【読み：可】【書き：不可】 → g＝可、h＝不可。

誤りやすいポイント

• 「本社スタッフはファイルを作るから書き込み必須」と誤解しやすい。実際の書き込み主体は「業務AP」であり、利用者権限は読み込みだけで済む。
• 「営業担当者も受注登録を行う＝書き込み可」と混同しがち。受注登録はデータベース処理であって出荷指示ファイルへの書き込みではない。
• 出荷担当者の書き込み権限を外すと業務が止まる。どの業務工程で誰が“更新”するかを時系列で確認することが重要。

FAQ

解答の論理構成

1. 【問題文】は、公開鍵暗号を併用するタイプについて「PCのメモリ上に一時的に作成する共通鍵で対象ファイルを暗号化した後、その共通鍵をプログラム内にハードコードされた公開鍵で暗号化した上で、メモリ上からは共通鍵を消去する」と述べています。
2. さらに「④このタイプでは、検体を解析しても、ファイルを復号することは難しい」と示し、検体（マルウェア本体）の解析だけでは復号に必要な情報が得られないと強調しています。
3. 公開鍵暗号の性質上、暗号化に使われた「公開鍵」だけでは復号はできません。復号には対応する「秘密鍵」または暗号化済み共通鍵を復号できる鍵情報が必須です。
4. しかし問題文が示す手順では、(a) 共通鍵は暗号化直後にメモリから削除される、(b) 検体に含まれるのは公開鍵のみ、となっています。
5. したがって「検体を解析しても復号が困難」な理由は、復号に必要な共通鍵や秘密鍵が検体に存在しないから、という一点に収斂します。

誤りやすいポイント

• 「公開鍵がハードコードされているなら復号も可能」と誤解するケース。公開鍵は暗号“化”専用であり、復号はできません。
• 「メモリ上に残る共通鍵をダンプすれば良い」と考えがちですが、問題文は“消去する”と明示しており、後から検体だけを調べても取得できません。
• 「ランサムウェアXも同様に困難」と決めつけてしまう点。Xは“共通鍵をメモリ上から消去しない”ためハイバネーションで救済できると別途説明されています。

FAQ

解答の論理構成

1. 問題文は、ランサムウェアの暗号化方式について
   ――「ランサムウェアXの場合、暗号化に使用した共通鍵をメモリ上から消去しない」
   と明示しています。
2. さらに
   ――「⑤PCをハイバネーション機能によって休止状態で保管しておく」
   とすれば、そのメモリ内容（＝共通鍵）も休止用ファイルに保存されます。
3. 一方、通常のシャットダウンでは電源断により RAM が消去され、上記の共通鍵も失われます。
4. 復号にはその共通鍵が不可欠ですから、メモリが揮発してしまうと「復号できる可能性」が低減します。
5. よって解答は
   「シャットダウンするとメモリ上に残っていた共通鍵が失われるため」
   となります。

誤りやすいポイント

• 「メモリ上に残る共通鍵」を「ディスクに保存された鍵」と取り違えてしまう。
• ハイバネーションとスリープを混同し、どちらも同じだと誤解する。
• ランサムウェアが“鍵を消去しない”＝“いつでも復号できる”と早合点し、メモリの揮発性を忘れる。
• 共通鍵暗号と公開鍵暗号を組み合わせるタイプの説明と混ざり、X の特徴を見落とす。

FAQ

解答の論理構成

• 【問題文】ではランサムウェア X について「アクセス可能なドライブをドライブレターのアルファベット順に探し、見つけたドライブ内のファイルを暗号化して上書き保存します」とあり、OS の権限を奪ってはいないため共有フォルダの“バックアップ領域”には到達できません。
• 一方、下線⑥には「⑥ファイルを暗号化するとともに、他のサーバやPCのOSの脆弱性を悪用し、管理者権限で次々と感染を広める」と示され、ランサムウェア Y は OS の弱点を突いて管理者権限を取得します。
• G サーバのバックアップ領域は「各コンピュータのローカルディスク上に設けられた一般利用者権限ではアクセスできない領域」に存在しますが、管理者権限を得た Y であればここにもアクセス可能です。
• したがって、ランサムウェア X では無事だったバックアップデータまで暗号化され、復元手段を喪失するという追加被害が発生します。
• 以上より模範解答は「共有フォルダのバックアップデータも暗号化されてしまい復元できなくなる」となります。

誤りやすいポイント

• 「ランサムウェア X もバックアップ領域を暗号化する」と誤解する
  権限昇格を行わないため到達できません。
• 感染拡大の焦点を「他 PC へのコピー」に置き、G サーバ単体の被害を見落とす
  設問は「Gサーバにおいて」起きる被害を聞いています。
• 「共有フォルダ自体が暗号化される」とだけ答え、バックアップへの影響を示さない
  X でも共有フォルダは暗号化されているため差異を示せません。

FAQ