問題
A 社は広告制作ビジネスを展開しており、人事業務の一部(B 業務:採用予定者から郵送される誓約書や前職の源泉徴収票などの書類を PDF に変換しファイルサーバに格納する業務)の委託を検討している。委託先候補の C 社は、複合機のスキャン機能を用い、スキャンした PDF を従業員ごとに異なる鍵で暗号化して電子メールに添付し、スキャン実行者本人宛てに送信する(PDF が大きい場合は社内の B サーバに保存し、保存先 URL を本文に記載して送信。B サーバへのアクセスには従業員ごとの利用者 ID とパスワードが必要)と提案した。リスク評価の結果、「複合機のスキャン機能では、電子メールの差出人アドレス・件名・本文・添付ファイル名が初期設定のままで、誰がスキャンしても同じ。初期設定情報はベンダーの Web サイトで公開され誰でも閲覧できる」という発見事項があった。A 社が初期設定からの変更という対策が必要であると評価した情報セキュリティリスクとして、最も適切なものはどれか。
選択肢
- 1B 業務に従事する従業員が、攻撃者からの電子メールを複合機からのものと信じて本文中にある URL をクリックし、フィッシングサイトに誘導される。その結果、A 社の採用予定者の個人情報が漏えいする。
- 2B 業務に従事する従業員が、複合機から送信される電子メールをスパムメールと誤認し、電子メールを削除する。その結果、再スキャンが必要となり、B 業務が遅延する。
- 3攻撃者が、複合機から送信される電子メールを盗聴し、添付ファイルを暗号化して身代金を要求する。その結果、A 社が復号鍵を受け取るために多額の身代金を支払うことになる。
- 4攻撃者が、複合機から送信される電子メールを盗聴し、本文に記載されている URL を使って B サーバにアクセスする。その結果、A 社の採用予定者の個人情報が漏えいする。
正解
1. B 業務に従事する従業員が、攻撃者からの電子メールを複合機からのものと信じて本文中にある URL をクリックし、フィッシングサイトに誘導される。その結果、A 社の採用予定者の個人情報が漏えいする。
詳しい解説を見る解説を閉じる
解説
問われているのは「差出人アドレス・件名・本文・添付ファイル名が初期設定のまま(しかも公開情報で誰でも分かる)」ことに起因し、初期設定からの変更で軽減できるリスクです。これらが公開情報なら、攻撃者は本物そっくりの差出人・件名・本文の偽メールを容易に作れます。従業員はそれを複合機からの正規メールだと信じて本文中の URL をクリックし、フィッシングサイトへ誘導されて個人情報が漏えいするおそれがあります。初期設定を独自の値に変更すれば偽装が難しくなるため、この対策が有効です。よって正解はアです。イは利便性の問題で初期設定変更とは直接結び付きません。ウのランサムウェア(添付ファイルを攻撃者が暗号化)やエの盗聴・URL 不正利用は、暗号化や ID・パスワードといった別の対策が関わるもので、本問の「初期設定の差出人情報等が公開されている」というリスクに対する対策とは合致しません。(出典: 令和5年度 基本情報技術者試験 科目B 問6)
一問一答
科目A 180問+科目B 60問