このたび、情報処理安全確保支援士のH31春試験を受けて、無事、合格しました！

今回は問題の選び方が良かったからか、前回の受験時や、過去問で解いたものよりも、ずっと簡単だったような気がします。

この問題、最後の午後IIで出題された大問２の問題文が、まるでサスペンスドラマを見ているような、謎解き要素の強い事例で面白かったので、紹介したいと思います。

事件の発生　〜機密設計ファイル流出事件〜

事件は、金型加工業者が保有する機密情報の設計ファイルがインターネット上に流出した、という報告から始まります。

ファイルはA社とB社で共同開発していた設計データでしたが、ある日Webサイトに開発中の設計図が掲載されているのをB社社員が発見。B社では設計ファイルの外部持ち出しが不可能であったため、流出はA社から起きた可能性が高いということでした。

B社からの報告を受けて、A社が自社の設計情報管理サーバを調べたところ、サーバに不審なアクセスログが残っていたのを発見します。そこで、アクセスログに関係する社員への聞き込みが行われることになりました。

容疑者

不審なアクセスログが残るユーザIDでは、調査対象の期間中に２度ログインが行われています。それぞれ設計情報管理サーバに接続するためにIPアドレスを割り当てられた２台のPCによるもの。犯人が使用したPCは、この２台のどちらかということになります。

ログインに使用されたユーザIDは、設計メンバーで共有されていたグループIDです。このIDの使用者は３人いて、IPアドレスを割り当てられたPCの１台は、このメンバーのひとりが使用しているPCです。

IPアドレスが割り当てられたPCのもう１台は、なぜか設計メンバーではない営業係の社員KのPCでした。設計メンバー用のユーザIDでログイン、しかも複数回ログインに失敗した形跡があります。設計ファイルのダウンロード履歴も残っていて、かなり怪しい。

しかしアクセスログだけでは、本当に所有者がPCを操作していたのかわからないので、PCの利用実態を調査する必要があります。

A社では設計メンバーの３人と、営業係の社員K、計４人を対象として、ヒアリングが行われることになります。

捜査の経過

ログのダウンロード履歴からわかる犯行時刻は16:50~16:51の間。

この時間、設計メンバーの３人は ”全員で” B社での打ち合わせに参加していました。A社ではデスクトップPCを使用しており、社外への持ち出しができないので、犯行時刻にログインするのは不可能。この３人は互いのアリバイを証明できるので、犯行の可能性は低いとみていいでしょう。

営業係の社員Kは、犯行時刻に社内で上司と打ち合わせを行っていました。社外にいたわけではないので、サーバへのログインは可能かもしれません。これはますます怪しい。

犯人

さて、これが２時間ドラマであれば、犯人を特定する証拠探しや、動機の解明が始まるところなのですが、残念ながらいま解いているのは情報処理の試験問題。

これから営業係の社員Kのアリバイを崩していくのかと思いきや、その後突然「ファイル漏えいの原因はマルウェア」だという身もふたもない真実が発覚してしまいました。出鼻をくじかれた！なんてことだ！

マルウェアに感染していたのは想定通り営業係の社員KのPCで、メールに添付されたZIPファイルを開いたところ感染してしまった、ということのようです。

このがっかり感は、自分の記憶ではあれに近いです。『DEATH NOTE』の中盤、ヨツバ内部にキラがいると判明してから、そこから捜査・推理が展開されるかと思いきや、レムの登場で「火口がキラです」とあっさりバレてしまった、あの展開。そりゃあそうだ。この文章はセキュリティ対策について問う問題であって、そうそう起こるものではない内部犯による情報漏えいの犯人特定能力を試すはずもないのだから。

このときのテンションのだだ下がり具合は言葉で言い表せるものではなかったですが、しかしこの後の追加ヒアリングで衝撃の事実が判明し、一度落ちた熱が再度高まることになります。

本当の原因

追加ヒアリングで、設計メンバーのグループIDに新たな事実が判明。それは、

「IDとなるメールアドレスは、社外のメーリングリストで使用しており、また、設計情報管理サーバにログインするパスワードは、初期パスワードのまま変更していなかった」

というもの。

・・・ちょっと待て、「初期パスから変更していない」だと！？

そこで問題を読み進める手が止まる。問題文の最初に提示された資料に戻る。A社システムの情報を確認すると、サーバのIDのパスワードには、「作成されたIDのメールアドレスと同じ文字列を使用する」と書いてありました。漏えいの原因はこれじゃないか！

つまりこういうことだったのです。設計メンバーのグループIDはサーバにアクセスするために共用で利用。共用のため、勝手にパスワードを変えることができず、あろうことかユーザIDであるメールアドレスと同一文字列の初期パスが使用され続けていた。しかも外部のメーリングリストを受け取るためのアドレスとして使用していたため、そのアドレス情報を入手した何者かによる侵入攻撃をむざむざ受けてしまった、と。

ちなみに、攻撃に使用されたマルウェアはウイルス対策が追いついていない最新のものが使用され、タイミング悪くウイルス定義のファイルを更新する前に、営業部のPCに感染してしまったようです。

初期パスワードくらい、せめてランダムな文字列にしておけよ！という、しょうもないオチ。あまつさえ、設計メンバーのリーダーJは設計情報管理サーバの管理者というポジションです。さながら、なろう小説によくいる無能な指揮官のさまじゃないか、という憤りを覚えるとともに、内部犯として疑われた営業係の社員Kには同情せざるを得ませんでした。

情報処理の問題としての感想

・・・以上が、事件の発生から原因の特定までの顛末です。

とはいえ、スペシャリストとしての手腕が問われるのは、今回のような事件が発生したとき、再発防止策をいかにしっかり立てられるか、というところにあるのだと思います。

大問の後半の設問は、判断材料がなぜ不十分なのか、事例の一時的な対策として何をすべきか、長期的な対策としては何をすべきか、特定の対策が不要なのはなぜか、ということを、状況に応じて適切に答えることを求めています。

試験後の感想を聞くと「簡単だった」と返ってくる本問題でしたが、事例が面白く、セキュリティ対策の本質を問うよい問題だったと思いました。

秋はネットワークスペシャリストへのリベンジ。連続で合格して、スペシャリスト試験はフィニッシュといきたいところです。