※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「A. B業務に従事する従業員が、攻撃者からの電子メールを複合機からのものと信じて本文中にあるURLをクリックし、フィッシングサイトに誘導される。その結果、A社の採用予定者の個人情報が漏えいする。」です。
複合機の初期設定情報が公開されている場合、攻撃者はなりすましメールを作成でき、フィッシング攻撃のリスクが高まります。
この記事では、基本情報技術者試験(FE)試験(令和5年度)で出題された第6問「業務委託における情報セキュリティリスク」について、試験対策の観点から解説します。
Contents
リスクの背景
初期設定のままの複合機 → 攻撃者に設定情報が公開 → なりすましメール作成可能
C社の複合機は初期設定の差出人アドレスや件名、本文、添付ファイル名が固定であり、ベンダーサイトで誰でも確認可能な状態です。このため、攻撃者が電子メールを偽装してフィッシング攻撃を行うリスクがあります。
発生し得るリスクの内容
- 従業員が攻撃者のメールを複合機からの正規メールと誤認する
- メール本文中のURLをクリックしてフィッシングサイトに誘導される
- 採用予定者の個人情報が漏えいする可能性
初期設定のままでは、A社にとって重大な情報セキュリティリスクとなります。
他の選択肢との違い
- スパム誤認による業務遅延:リスクとしては軽微であり、情報漏えいとは直接関係しない
- 添付ファイルの暗号化による身代金要求:この業務フローでは発生しにくい
- Bサーバへの不正アクセス:従業員のクリック操作が問題であり、直接攻撃者がアクセスするとは限らない
最も現実的で重要なリスクは、従業員がフィッシングにだまされるケースです。
問われているポイント
この問題では、初期設定情報が公開されていることによるフィッシングリスクを正しく認識できるかが問われています。
単に業務手順を理解するだけでなく、情報セキュリティ上の脅威を評価できることが重要です。
気を付けてほしい点(勘違いしやすいポイント)
- 攻撃者の直接操作ではなく、従業員の誤操作がリスクを生む点に注意
- 初期設定の公開情報を放置すると、なりすまし攻撃の危険性が高まる
補足
業務委託先であっても、初期設定のまま使用する機器はリスク評価が必要です。
基本情報技術者試験(FE)試験での出題パターン
業務委託やクラウド環境における情報セキュリティリスクの評価は、近年の試験で頻出です。
フィッシングやなりすましのリスクを正しく理解することが求められます。
この知識が使われている問題
まとめ
- 初期設定の複合機はフィッシング攻撃のリスクを高める
- 従業員がメールを正規と誤認しクリックすることで個人情報が漏えいする可能性がある