ランサムウェア感染インシデントの
分析と対応〈午後II相当〉
前回の午後I版を、侵入経路の特定・横展開の分析・個人データ漏えい時の法的対応まで掘り下げた、長文・多枝問バージョンです。
この問題で問われている力
午後I版で問うた初動対応・バックアップの検証・アクセス権限に加え、①検知していたのに対応されなかったアラートという「監視と対応の分断」②横展開(ラテラルムーブメント)の技術的な経路を辿る力③事業継続(復旧の優先順位、身代金要求への向き合い方)④個人データ漏えい時の法令対応、という、より広い視野での分析力が問われます。
📋 設問構成
次の記述を読んで、設問1〜5に答えよ。
〔システム概要〕
K社は、従業員数500名の精密部品メーカーである。本社と工場の2拠点を持ち、両拠点間は専用線(VPN)で接続されている。情報システム部門は5名で構成され、社内システムの企画・運用・保守を担うとともに、社外のセキュリティベンダーであるS社に、ログの監視業務(以下、監視委託業務という)を委託している。
本社の社内LANには、Active Directoryによるドメイン認証を行う認証サーバ(DC1)、各部門が利用する共有フォルダを持つファイルサーバ(FS1)、FS1のデータを毎日深夜に差分バックアップするバックアップサーバ(BK1)、社外から従業員がリモートアクセスするためのVPN装置(VPN1)が接続されている。BK1が作成したバックアップデータは、同じ社内LAN上のバックアップ用NAS装置(NAS1)に保存される。
工場の社内LANには、生産ラインの稼働状況を管理する製造管理システムサーバ(MES1)が接続されており、MES1は本社のドメインに参加している。
社内LANは、ファイアウォール(FW1・FW2)を介してインターネットに接続されており、DMZには、取引先が利用する専用ポータルサイト(以下、取引先ポータルという)と、その担当者情報を保存するデータベース(DB1)が設置されている。
〔インシデントの発生〕
X月10日(月)、従業員Aが利用するクライアントPC(PC-A)において、ランサムウェアへの感染が疑われる事象が発生した。情報システム部門の担当者Bが対応にあたり、調査を行った結果、表1に示す経緯が判明した。
| 時刻 | 出来事 |
|---|---|
| X月10日 9:05 | 従業員Aが、取引先を装ったメールの添付ファイルを開き、「コンテンツの有効化」を実行した。 |
| 9:20 | PC-Aの動作が重くなり、複数ファイルの拡張子が「.locked」に変更されていることにAが気付いた。 |
| 9:25 | Aは情報システム部門に連絡した。 |
| 9:40 | 担当者Bが確認したところ、FS1の共有フォルダの一部のファイルも同様に暗号化されていることが判明した。 |
| 10:00 | 担当者Bは、FS1の共有フォルダへのアクセスを禁止する設定を行った。 |
| 10:30 | BK1を確認し、前日深夜の差分バックアップが正常に完了していたことを確認した。 |
| 11:00 | 調査の結果、PC-Aが業務上不要な複数部門のFS1共有フォルダへの書き込み権限を有していたことが判明した。 |
| 13:00 | 監視委託先のS社から、同日未明2:10頃にPC-Aから社内の複数サーバへの異常なログイン試行があった旨のアラートが、当日朝の定時報告まで未確認のまま残っていたとの連絡を受けた。 |
| 14:00 | 調査の結果、攻撃者は3日前(X月7日)に、従業員Cが利用するVPN1経由のリモートアクセス用アカウントへの不正ログインに成功しており、その後、ドメイン管理者権限を持つアカウントの認証情報を窃取していたことが判明した。 |
| 15:00 | 工場のMES1への影響が確認され、生産ラインの一部が停止した。 |
| X月11日 9:00 | 取引先ポータルのDB1への不審なアクセスログと、データの外部送信を示す痕跡が確認された。 |
| 項目 | 内容 |
|---|---|
| VPN1の認証方式 | ID・パスワードのみで、多要素認証は導入されていなかった。 |
| 従業員Cのアカウント | リモートアクセス用アカウントのパスワードを、私的に利用する他のWebサービスと共用していた。 |
| ドメイン管理者権限の運用 | 複数のサーバで、共通の管理者用パスワードが使い回されていた。 |
| 監視委託業務の対応体制 | S社はアラートを検知し記録していたが、K社側には深夜・早朝帯の即時対応窓口がなく、平日朝の定時報告まで確認が行われない運用となっていた。 |
| MES1の構成 | 本社のドメインに参加しており、ドメイン管理者権限を悪用した横展開の経路上に含まれていた。 |
| DB1の保存データ | 取引先担当者約3,200名分の氏名・メールアドレス・電話番号が保存されていた。 |
(a) PC-Aをネットワークから切断(隔離)する。
(b) アラートを検知する仕組みはあるが、検知後すぐに対応する体制が時間帯によって存在しない。
(c) ドメイン管理者権限の窃取や、複数サーバへの感染の横展開。
(b)は「監視(検知)はできていたが、対応のプロセス・体制が不十分だった」という、検知と対応の分断を指摘できているかが核心。「S社の監視能力が低かった」と書くと誤り(実際にはS社は正しく検知していた)。(c)は「未明の時点」と「その後の被害」の因果関係(横展開前に止められていた可能性)を示せているかがポイント。
「監視を外部委託している=対応も自動的に行われる」ではない。検知(Detect)と対応(Respond)は別の機能であり、委託先が検知したアラートを、委託元が時間帯を問わず確実に受け取り対応する体制(24時間365日のエスカレーションフロー)がなければ、監視の効果は半減する。
(a) 多要素認証が導入されていないVPN1経由で、従業員Cのリモートアクセス用アカウントに不正ログインされた。
(b) パスワードを他の私的サービスと共用しており、漏えいした認証情報を悪用された可能性がある(クレデンシャルスタッフィング)。
(c) 複数サーバで共通の管理者パスワードが使い回されており、一つの権限の窃取が全体に波及した。
(a)は「VPN1のMFA未導入」という設定不備に必ず言及すること。単に「不正ログインされた」だけでは技術的な原因の指摘として不十分。(c)は「管理者パスワードの使い回し」という横展開を可能にした具体的な要因を書けているかが核心で、「権限管理が甘かった」のような抽象的な記述は減点対象。
侵入経路(Initial Access)と横展開(Lateral Movement)は別の段階であり、それぞれ異なる対策が必要。侵入経路への対策はMFA等の入口の強化、横展開への対策は権限の分離・パスワードの個別化が基本(MITRE ATT&CKのような攻撃ステージの分解と対応関係を意識すると整理しやすい)。
(a) 各システムが事業に与える影響度(生産停止による損失等)を踏まえ、復旧の優先順位(RTO)を判断する。
(b) 身代金を支払わず、警察等に届け出るとともに、検証済みのバックアップから復旧を進める。
(a)は「事業への影響度に基づく優先順位付け」という考え方(BIA:ビジネスインパクト分析)に触れられているかが核心。(b)で「とにかく早く支払って復旧すべき」と書くと誤り。復号が保証されない上、攻撃者への資金供与となるため非推奨という理由まで書けるとより高評価。
身代金を支払わないという原則は、IPA・警察庁が明言する基本方針。復旧の優先順位は「重要度が高いシステムから」ではなく「事業継続への影響度(RTO/RPO)から」判断するという、BCPの基本的な考え方が、ランサムウェア対応の設問でもそのまま応用される。
(a) 個人情報保護委員会への報告および、影響を受ける取引先担当者本人への通知を行う義務を負う。
(b) 速報では把握できた範囲の概要を速やかに報告し、確報では原因や再発防止策まで含めた詳細を報告する。
(c) 未対応の脆弱性や内部構成の詳細を開示すると、別の攻撃者に悪用される二次被害のリスクがある。
(a)は「報告」と「本人への通知」の両方に言及できているかが核心(片方のみでは部分点)。(c)は「開示しなければ取引先の不信を招く」というリスクとのバランスにも触れられるとより丁寧だが、最低限「二次被害(追加攻撃)のリスク」というキーワードは必須。
漏えい時の対応は「報告義務(速報・確報の2段階)」と「本人への通知義務」がセット。技術的詳細の開示は「説明責任を果たすこと」と「二次被害を防ぐこと」のバランスを取る必要があり、一律に「全部隠す」も「全部出す」も不適切という視点が問われる。
(a) VPN1に多要素認証を導入し、ID・パスワードのみでのアクセスを禁止する。
(b) サーバごとに個別の管理者パスワードを設定し、最小権限の原則でアクセス権限を見直す。
(c) 監視委託先からのアラートを、時間帯を問わず確認・対応できる体制を整備する。
(d) バックアップを複数世代保持し、システムごとの重要度に応じた復旧計画(RTO)を定める。
(a)〜(d)は、設問1〜4で指摘した個別の問題点(MFA未導入、パスワード共用・使い回し、監視と対応の分断、1世代バックアップの危うさ等)に、それぞれ一対一で対応する解答になっているかを確認すること。本文中の根本原因と無関係な一般論(「セキュリティ意識を高める」等)のみでは加点されにくい。
長文の午後II問題では、再発防止策の設問は必ず「本文中で指摘された個別の事実」に対応させて答える。一般的なセキュリティ対策の知識を並べるのではなく、表1・表2に書かれた具体的な原因(VPNのMFA未導入、パスワードの使い回し、監視と対応の分断等)を一つずつ解消する解答を組み立てるのが、午後II問題を解く上での基本姿勢。
コメント