A 社は, 形式の給与計算サービス(以下,A サービスという)を法人向けに提供する,従業員 100 名の IT 会社である。A 社は,自社でも A サービスを利用している。A 社の従業員は,Web ブラウザで A サービスのログイン画面にアクセスし,A サービスのアカウント(以下,A アカウントという)の利用者 ID 及びパスワードを入力する。ログインに成功すると,自分の給与及び賞与の確認,パスワードの変更などができる。利用者 ID は,個人ごとに付与した不規則な 8 桁の番号である。ログイン時にパスワードを連続して 5 回間違えると A アカウントはロックされる。ロックを解除するためには,A サービスの解除画面で申請する。
A 社は,半年に 1 回,標的型攻撃メールへの対応訓練(以下,H 訓練という)を実施しており,表 1 に示す 20XX 年下期の H 訓練計画案が経営会議に提出された。
表1 20XX 年下期の H 訓練計画案(抜粋)
A 社は,SaaS 形式の給与計算サービス(以下,A サービスという)を法人向けに提供する,従業員 100 名の IT 会社である。A 社は,自社でも A サービスを利用している。A 社の従業員は,Web ブラウザで A サービスのログイン画面にアクセスし,A サービスのアカウント(以下,A アカウントという)の利用者 ID 及びパスワードを入力する。ログインに成功すると,自分の給与及び賞与の確認,パスワードの変更などができる。利用者 ID は,個人ごとに付与した不規則な 8 桁の番号である。ログイン時にパスワードを連続して 5 回間違えると A アカウントはロックされる。ロックを解除するためには,A サービスの解除画面で申請する。 A 社は,半年に 1 回,標的型攻撃メールへの対応訓練(以下,H 訓練という)を実施しており,表 1 に示す 20XX 年下期の H 訓練計画案が経営会議に提出された。 表1 20XX 年下期の H 訓練計画案(抜粋) 注記 偽解除サイトで入力された情報は,保存しない。A 社は,従業員の氏名,所属部門名及び A アカウントの情報を個人情報としている。 経営会議では,表 1 の計画案はどのような標的型攻撃メールを想定しているのかという質問があった。 設問 表 1 の計画案が想定している標的型攻撃メールはどれか。解答群のうち,最も適切なものを選べ。
選択肢
ア.従業員を A サービスに誘導し,A アカウントのロックが解除されるかを試行する標的型攻撃メール
イ.従業員を攻撃者が用意した Web サイトに誘導し,A アカウントがロックされない連続失敗回数の上限を発見する標的型攻撃メール
ウ.従業員を攻撃者が用意した Web サイトに誘導し,従業員の個人情報を不正に取得する標的型攻撃メール
エ.複数の従業員を A サービスに同時に誘導し,アクセスを集中させることによって,一定期間,A サービスを利用不可にする標的型攻撃メール
正解
ウ. 従業員を攻撃者が用意した Web サイトに誘導し,従業員の個人情報を不正に取得する標的型攻撃メール
解説
この訓練計画は,A サービスを装ったメールで「アカウントがロックされた」と偽り,攻撃者が用意した偽解除サイトへ誘導して氏名・所属・利用者 ID・パスワードを入力させる手口を模している。これらは A 社が個人情報と定めている情報であり,正規サービスではなく攻撃者側のサイトで詐取する点が要点なので,攻撃者の Web サイトへ誘導して従業員の個人情報を不正取得する標的型攻撃メールを想定しているとする選択肢ウが正解である。
選択肢ごとの解説
ア.誘導先は A サービスそのものではなく,A サービスを装った偽解除サイトである。ロック解除の可否を試すのが目的でもないため,計画が想定する攻撃の説明として誤りである。