A 社は,放送会社や運輸会社向けに広告制作ビジネスを展開している。A 社は,人事業務の効率化を図るべく,人事業務の委託を検討することにした。A 社が委託する業務(以下,B 業務という)を図 1 に示す。
・採用予定者から郵送されてくる入社時の誓約書,前職の源泉徴収票などの書類を PDF ファイルに変換し,ファイルサーバに格納する。
(省略)
図 1 B 業務
委託先候補の C 社は,B 業務について,次のように A 社に提案した。
・B 業務だけに従事する専任の従業員を割り当てる。
・B 業務では,図 2 の複合機のスキャン機能を使用する。
・スキャン機能を使用する際は,従業員ごとに付与した利用者 ID とパスワードをパネルに入力する。
・スキャンしたデータを PDF ファイルに変換する。
・PDF ファイルを従業員ごとに異なる鍵で暗号化して,電子メールに添付する。
・スキャンを実行した本人宛てに電子メールを送信する。
・PDF ファイルが大きい場合は,PDF ファイルを添付する代わりに,自社の社内ネットワーク上に設置したサーバ(以下,B サーバという)¹⁾に自動的に保存し,保存先の URL を電子メールの本文に記載して送信する。
注 ¹⁾ B サーバにアクセスする際は,従業員ごとの利用者 ID とパスワードが必要になる。
図 2 複合機のスキャン機能(抜粋)
A 社は,C 社と業務委託契約を締結する前に,秘密保持契約を締結した。その後,C 社に質問表を送付し,回答を受けて,業務委託での情報セキュリティリスクの評価を実施した。その結果,図 3 の発見があった。
・複合機のスキャン機能では,電子メールの差出人アドレス,件名,本文及び添付ファイル名を初期設定 1)の状態で使用しており,誰がスキャンを実行しても同じである。
・複合機のスキャン機能の初期設定情報はベンダーの Web サイトで公開されており,誰でも閲覧できる。
注 ¹⁾ 複合機の初期設定は C 社の情報システム部だけが変更可能である。
図 3 発見事項
そこで,A 社では,初期設定の状態のままでは A 社にとって情報セキュリティリスクがあり,初期設定から変更するという対策が必要であると評価した。
設問 対策が必要であると A 社が評価した情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。
解答群
- B 業務に従事する従業員が,攻撃者からの電子メールを複合機からのものと信じて本文中にある URL をクリックし,フィッシングサイトに誘導される。その結果,A 社の採用予定者の個人情報が漏えいする。
- B 業務に従事する従業員が,複合機から送信される電子メールをスパムメールと誤認し,電子メールを削除する。その結果,再スキャンが必要となり,B 業務が遅延する。
- 攻撃者が,複合機から送信される電子メールを盗聴し,添付ファイルを暗号化して身代金を要求する。その結果,A 社が復号鍵を受け取るために多額の身代金を支払うことになる。
- 攻撃者が,複合機から送信される電子メールを盗聴し,本文に記載されているURL を使って B サーバにアクセスする。その結果,A 社の採用予定者の個人情報が漏えいする。
解答
ア
解説
ー
- B 業務に従事する従業員が,攻撃者からの電子メールを複合機からのものと信じて本文中にある URL をクリックし,フィッシングサイトに誘導される。その結果,A 社の採用予定者の個人情報が漏えいする。
適切です。 - B 業務に従事する従業員が,複合機から送信される電子メールをスパムメールと誤認し,電子メールを削除する。その結果,再スキャンが必要となり,B 業務が遅延する。
ー - 攻撃者が,複合機から送信される電子メールを盗聴し,添付ファイルを暗号化して身代金を要求する。その結果,A 社が復号鍵を受け取るために多額の身代金を支払うことになる。
ー - 攻撃者が,複合機から送信される電子メールを盗聴し,本文に記載されているURL を使って B サーバにアクセスする。その結果,A 社の採用予定者の個人情報が漏えいする。
ー
