ランサムウェア感染への対応
午後I相当ケーススタディ
精密部品メーカーK社で発生したランサムウェア感染インシデントを題材に、初動対応からバックアップの安全性確認、再発防止策までを問う長文問題です。
この問題で問われている力
①初動対応の優先順位(隔離が先か、原因確認が先か)②「バックアップが完了した」という事実だけで安全と判断してよいかという検証の視点③アクセス権限の設計不備が被害規模にどう影響するか④再発防止を「人の注意」ではなく「仕組み」で実現する発想、の4点です。
次の記述を読んで、設問1〜4に答えよ。
K社は、従業員数500名の精密部品メーカーである。情報システム部門は5名で構成され、社内システムの企画・運用・保守を担っている。
社内LANには、Active Directoryによるドメイン認証を行う認証サーバ(DC1)、各部門が利用する共有フォルダを持つファイルサーバ(FS1)、FS1のデータを毎日深夜に差分バックアップするバックアップサーバ(BK1)が接続されている。BK1が作成したバックアップデータは、同じ社内LAN上に設置されたバックアップ用NAS装置(NAS1)に保存される。各従業員が利用するクライアントPCはドメインに参加しており、業務上必要な共有フォルダへのアクセス権限は、Active Directory上のグループに対して設定されている。
社内LANは、ファイアウォール(FW1)を介してインターネットに接続されている。外部に公開するWebサーバとメールサーバは、FW1と、社内LANとの間に設置されたファイアウォール(FW2)の間のDMZに配置されている。
X月10日(月)、従業員Aが利用するクライアントPC(PC-A)において、ランサムウェアへの感染が疑われる事象が発生した。情報システム部門の担当者Bが対応にあたり、調査を行った結果、表1に示す経緯が判明した。
| 時刻 | 出来事 |
|---|---|
| X月10日(月)9:05 | 従業員Aが、取引先を装ったメールに添付されていたWord文書ファイルを開き、「コンテンツの有効化」を実行した。 |
| 9:20 | PC-Aの動作が重くなり、複数のファイルの拡張子が「.locked」に変更されていることに、Aが気付いた。 |
| 9:25 | Aは情報システム部門に連絡した。 |
| 9:40 | 担当者Bが状況を確認したところ、FS1の共有フォルダのうち、A以外の部門が利用するフォルダの一部のファイルも、同様に暗号化されていることが判明した。 |
| 10:00 | 担当者Bは、ひとまずFS1の共有フォルダへのアクセスを禁止する設定を行った。 |
| 10:30 | 担当者BがBK1を確認したところ、前日(X月9日)深夜に実行された差分バックアップは、正常に完了していたことを確認した。 |
| 11:00 | 調査の結果、PC-Aが、業務上は利用していない複数部門のFS1共有フォルダに対しても、書き込み権限を有していたことが判明した。 |
(1) PC-Aをネットワークから切断(隔離)する。
(2) ランサムウェアが共有フォルダ経由で他の機器やファイルへ感染を拡大させてしまう。
(1)は「ネットワークからの切断・隔離」という趣旨が書けていれば加点。「PCの電源を切る」と書くと、揮発性メモリ上の攻撃の証跡が失われ、原因調査が困難になるため、部分点または減点対象になりやすい。(2)は「感染拡大」という被害の広がりに言及できているかが核心で、単に「データが暗号化される」だけでは(1)の対応の必要性が伝わらない。
インシデント対応の基本ステップは「検知→隔離(初動)→調査・原因特定→復旧→再発防止」。表1のように「気付く→連絡する」の間に「隔離する」が入っていない場合、その欠落こそが午後問題で問われる典型パターン。
表1中の10:30で確認された「前日深夜の差分バックアップが正常に完了していた」という事実だけでは、復旧に利用するバックアップデータの安全性を判断するために十分とは言えない。その理由を、40字以内で述べよ。
バックアップ完了後に感染が進行・拡大した可能性があり、完了の事実自体は暗号化されていないことを保証しないため。
「バックアップが取れているから安心」という早合点を否定できているかが核心。「バックアップ完了」と「マルウェアに汚染されていないこと」は別の事柄であり、復元前にウイルススキャンや復元テストによる検証が必要、という流れを示せると加点される。
「バックアップの完了」と「バックアップの安全性(マルウェア未混入)」は別の論点。復旧前には、検証環境での復元テストやスキャンを行い、汚染されていないことを確認するプロセスを挟むことが基本。
表1中の11:00で判明した、PC-Aが有していたアクセス権限の状況は、今回のインシデントの被害拡大にどのように影響したと考えられるか。35字以内で述べよ。
業務上不要な書き込み権限により、本来アクセスできないはずの他部門のファイルまで暗号化された。
「権限が広すぎたこと」と「被害範囲が広がったこと」の因果関係を明示できているかが採点の核心。単に「権限の設定が誤っていた」では、被害拡大との関係が説明されておらず不十分。
ランサムウェアは「感染した端末が持つ権限の範囲」でファイルを暗号化する。最小権限の原則が守られていれば、被害は本来その端末の担当業務の範囲内に収まったはずという視点が、午後問題で繰り返し問われる。
今回のインシデントを踏まえ、K社が今後実施すべき再発防止策について、次の(1)〜(3)それぞれの観点から、30字以内で述べよ。
(1) 最小権限の原則に基づき、業務上必要な範囲にアクセス権限を限定する。
(2) バックアップを複数世代保持し、ネットワークから隔離した環境にも保管する。
(3) インシデント発生時の報告・初動対応の手順を整備し、従業員に周知・訓練する。
(1)は「最小権限」「アクセス権限の見直し」というキーワードが核心。(2)は「複数世代」「オフライン・隔離保管」に言及できているかがポイントで、「バックアップの頻度を増やす」だけでは1世代上書き運用のままなら不十分。(3)は「手順の整備」「周知・訓練」という仕組み化のキーワードが重要で、「気をつける」のような精神論のみでは加点されにくい。
再発防止策は「①権限の最小化(被害範囲の限定) ②バックアップの世代管理・隔離保管(復旧手段の確保) ③対応体制の整備(初動の速さ)」の3点が、ランサムウェア対応の午後問題で組み合わせて問われる定番セット。それぞれ「技術対策」と「運用・体制」の両面から答えられるようにしておくと、設問の角度が変わっても対応できる。
コメント