サンプル問題 [科目B]問55

 A社は,SaaS形式の給与計算サービス(以下,Aサービスという)を法人向けに提供する,従業員100名のIT会社である。A社は,自社でもAサービスを利用している。A社の従業員は,WebブラウザでAサービスのログイン画面にアクセスし,Aサービスのアカウント(以下,Aアカウントという)の利用者ID及びパスワードを入力する。ログインに成功すると,自分の給与及び賞与の確認,パスワードの変更などができる。利用者IDは,個人ごとに付与した不規則な8桁の番号である。ログイン時にパスワードを連続して5回間違えるとAアカウントはロックされる。ロックを解除するためには,Aサービスの解除画面で申請する。
 A社は,半年に1回,標的型攻撃メールへの対応訓練(以下,H訓練という)を実施しており,表1に示す20XX年下期のH訓練計画案が経営会議に提出された。
55.png
 経営会議では,表1の計画案はどのような標的型攻撃メールを想定しているのかという質問があった。


設問 表1の計画案が想定している標的型攻撃メールはどれか。解答群のうち,最も適切なものを選べ。

  • 従業員をAサービスに誘導し,Aアカウントのロックが解除されるかを試行する標的型攻撃メール
  • 従業員を攻撃者が用意したWebサイトに誘導し,Aアカウントがロックされない連続失敗回数の上限を発見する標的型攻撃メール
  • 従業員を攻撃者が用意したWebサイトに誘導し,従業員の個人情報を不正に取得する標的型攻撃メール
  • 複数の従業員をAサービスに同時に誘導し,アクセスを集中させることによって,一定期間,Aサービスを利用不可にする標的型攻撃メール
正解 問題へ
分野:情報セキュリティマネジメントの計画・要求事項
カテゴリ:リスクアセスメント及びリスク対応
解説
訓練計画案を見ると、Aアカウントはロックされていると騙すメールを送り、誘導した偽解除サイトで個人情報を入力させています。このように正当なメールを装って、メール内のURLをクリックさせることによりメール受信者を偽サイトに誘導し、そこで個人情報を摂取する行為をフィッシングといいます。

したがって、個人情報を不正に取得する「ウ」が、訓練計画案の想定する標的型攻撃メールとなります。
  • 誤り。従業員が誘導されるのはAサービスではなく偽解除サイトです。またロックの解除機能をテストするものではありません。
  • 誤り。偽解除サイトに誘導していること、そして1人に何回もログイン試行させているわけではないので、Aサービスのログイン失敗回数とは無関係です。
  • 正しい。フィッシングを目的とする標的型攻撃メールを想定しています。
  • 誤り。偽解除サイトに誘導しているので、Aサービスに対するサービス妨害攻撃を対象とはしていません。Aサービスは外部向けに公開しているものなので、100人程度の同時アクセスで利用不可になるような貧弱なサーバを使っているとも思えません。

Pagetop