委託業務での情報セキュリティリスク｜科目B情報セキュリティを解くための重要用語

問題（出典：令和5年度公開問題問6）

A社は，放送会社や運輸会社向けに広告制作ビジネスを展開している。
A社は，人事業務の効率化を図るべく，人事業務の委託を検討することにした。
A社が委託する業務（以下，B業務という）を図1に示す。

委託先候補のC社は，B業務について，次のようにA社に提案した。
　・B業務だけに従事する専任の従業員を割り当てる。
　・B業務では，図2の複合機のスキャン機能を使用する。

A社は，C社と業務委託契約を締結する前に，秘密保持契約を締結した。
その後，C社に質問表を送付し，回答を受けて，業務委託での情報セキュリティリスクの評価を実施した。
その結果，図3の発見があった。

そこで，A社では，初期設定の状態のままではA社にとって情報セキュリティリスクがあり，初期設定から変更するという対策が必要であると評価した。

　
【設問】
対策が必要であるとA社が評価した情報セキュリティリスクはどれか。
解答群のうち，最も適切なものを選べ。

　
【解答群】

　ア　：　B業務に従事する従業員が，攻撃者からの電子メールを複合機からのものと信じて本文中にあるURLをクリックし，フィッシングサイトに誘導される。その結果，A社の採用予定者の個人情報が漏えいする。

　イ　：　B業務に従事する従業員が，複合機から送信される電子メールをスパムメールと誤認し，電子メールを削除する。その結果，再スキャンが必要となり，B業務が遅延する。

　ウ　：　攻撃者が，複合機から送信される電子メールを盗聴し，添付ファイルを暗号化して身代金を要求する。その結果，A社が復号鍵を受け取るために多額の身代金を支払うことになる。

　エ　：　攻撃者が，複合機から送信される電子メールを盗聴し，本文に記載されているURLを使ってBサーバにアクセスする。その結果，A社の採用予定者の個人情報が漏えいする。

ファイルサーバ

意味「ファイルサーバ」は、ファイルの保存を行えるサーバです。この問題では、複合機でスキャンして作成されたPDFファイルを、メールに添付して利用者に送りますが、ファイルのサイズが大きい場合は、それをファイサーバに保存し、保存先のURLを利用者にメールで知らせます。

複合機

意味「複合機」は、コピー、スキャナ、FAXなど、1台で複数の機能を持った事務機です。この問題の複合機には、スキャンして作成されたPDFファイルをファイルサーバに保存する機能や、PDFファイルをメールに添付して送る機能があります。

URL

意味「URL（Uniform Resource Locator）」は、ネットワーク上にあるデータの場所を示す統一的な書式の文字列です。代表的なURLには、「www.seplus.jp/index.html」のようにWebサイトのHTMLファイルの場所を示すものがあります。この問題では、ファイルサーバに保存されたPDFファイルのURLが、利用者にメールで知らされます。そのURLをクリックすれば、ファイルサーバのダウンロードページに移動して、PDFファイルを入手できるのでしょう。

フィッシングサイト

意味「フィッシング」は、「魚釣り」を意味するfishingと、「洗練された」を意味するsophisticatedを組合せた造語だといわれています（他の説もあります）。偽のメールで、本物ソックリの偽のWebページ（これが「フィッシングサイト」です）に誘導して、そのWebページを操作した利用者の情報を盗みます。この問題では、ファイルサーバの偽のダウンロードページに誘導して、利用者にIDとパスワードを入力させて、それらを盗むのでしょう。

スパムメール

意味「スパムメール」とは、勝手に送られてくる迷惑メールのことです。英国のテレビのコメディ番組で「スパム」という言葉を何度も連呼して相手を困らせる、という場面があったことが由来だといわれています。この問題では、複合機の利用者に偽のメールが送られてきますが、その目的は、フィッシングサイトに誘導して情報を盗むことであり、何度もメールを送って迷惑をかけることはないので、スパムメールとはいえないでしょう。

復号鍵

意味平文を暗号文にすることを「暗号化」と呼び、暗号文を平文に戻すことを「復号」と呼びます。暗号化と復号の演算で使われる数値を「鍵」と呼びます。暗号化で使われる鍵を「暗号鍵」と呼び、復号で使われる鍵を「復号鍵」と呼びます。この問題の選択肢では、重要なデータを勝手に暗号化して、復号鍵を得るための身代金を要求する、という攻撃手法が示されています。ただし、それに関する記述は、問題の本文にはありません。