ITエンジニアが仕事に対して思うこと

ITエンジニアとして働く中で感じたことを、現場の温度感そのままに言語化するブログです。設計・実装・運用のリアル、学び続ける負荷、品質とスピードのせめぎ合い、コミュニケーションの難しさなど、きれいごとだけでは語れない「仕事の実態」を整理します。誰かを責めるのではなく、なぜそうなるのかを構造で捉え、明日から少し楽に、少し強く働ける視点を提供します。新人から中堅、マネジメントまで参考に。

トップ > 情報セキュリティ > 令和7年度 春期 応用情報技術者試験 午後問1過去問題解説
最終更新日

令和7年度 春期 応用情報技術者試験 午後問1過去問題解説

情報セキュリティ 応用情報技術者試験
解答解説

1つのパスワードが会社を止める?あるサイバー攻撃事例から学ぶ、見過ごしがちな4つの教訓

youtu.be

Introduction: The Anatomy of a Disaster

ある月曜の朝、中堅中古車販売会社C社の業務は完全に停止した。電話は鳴りやまず、顧客データにはアクセスできず、全社員が手を止めるしかなかった。原因は、ハッカー集団からの挑戦状――身代金を要求するランサムウェアだった。

ビジネスにおけるサイバーセキュリティ上の脅威は、常に高度で複雑な外部からの攻撃であると考えがちです。しかし、このC社を麻痺させた事件は、単一の高度なハッキング技術によるものではなく、誰もが「うちではありえない」と思うような、ごく基本的なセキュリティ上の過失が積み重なって引き起こされたものでした。

本稿では、公式インシデント調査報告書から明らかになったこの攻撃の連鎖を解き明かし、多くの企業が見過ごしがちな4つの教訓を明らかにします。

1. 最も危険な侵入口は、正面玄関ではなく「取引先」の開いた窓だった

サプライチェーンリスクという言葉が示すように、自社のセキュリティが万全でも、取引先のセキュリティが脆弱であれば、そこが侵入口となり得ます。C社の事例は、まさにその典型でした。攻撃の起点はC社自身ではなく、業務提携先であるP社でした。

攻撃者はまず、P社が使用していたVPNルータの認証に関する脆弱性を悪用して認証情報を取得。その認証情報を使ってVPN接続を行い、P社の社内ネットワークへの侵入に成功しました。

次に攻撃者が狙ったのは、P社内に設置されたPC(PC-P)でした。驚くべきことに、このPCの認証情報はID「admin」、パスワード「password123456」という極めて脆弱なものでした。さらに致命的だったのは、アカウントのロックアウト設定がされていなかったことです。これにより、攻撃者は「admin」というIDに対し異なるパスワードで150回ログインに失敗した後、151回目でログインに成功。一切妨害されることなく、ブルートフォース攻撃を完遂させてしまいました。

この事例が示す教訓は明確です。自社のセキュリティは、最もセキュリティ対策が手薄な取引先のレベルにまで引き下げられてしまう危険性があるということです。

2. 1つの弱いパスワードが、王国全体を解錠する「マスターキー」に変わる

P社のネットワークへの侵入は、始まりに過ぎませんでした。攻撃者は次に、誰もが一度はやってしまう「ある過ち」を利用して、C社の内部ネットワークへと魔法のように侵入します。

この攻撃の被害が拡大した最大の要因は、たった1つの弱いパスワードが複数のシステムで使い回されていたことでした。

攻撃者の「横移動(ラテラルムーブメント)」の経路は以下の通りです。

  • ステップ1: 提携先P社のPC-Pに侵入する。(ID: "admin", Password: "password123456")
  • ステップ2: 調査報告書によると、C社内に設置されていたPC-RのIDとパスワードは、PC-Pのものと同一でした。攻撃者はこれを利用し、ログインに成功します。
  • ステップ3: C社の社内システム用PC(PC-S)に、PC-Rで使われたものと全く同じパスワードが別のIDで設定されていることを発見。リバースブルートフォース攻撃(パスワードを固定し、IDを次々に試す手法)によってPC-Sへの侵入を果たす。

パスワードの使い回しという、多くの人がついやってしまいがちなこの習慣が、攻撃者にとってネットワークの境界から基幹システムの中枢まで続く、明確で簡単な道筋を提供してしまったのです。

3. 「完璧な」バックアップ計画が、実は1日で破綻する時限爆弾だった

ランサムウェア攻撃に対する最後の砦はバックアップです。C社も毎日バックアップを取得する体制を整えており、一見すると対策は万全に見えました。

しかし、その戦略には致命的な欠陥が潜んでいました。C社はバックアップを1世代分しか保持していなかったのです。運用ルールは、月曜日にデータのフルバックアップを行い、火曜日から日曜までは差分バックアップを取得し、翌週のバックアップで上書きするというものでした。

幸いなことに、今回の攻撃は月曜の早朝に発生し、その数時間前に行われた正常なフルバックアップからデータを復旧することができました。しかし、報告書は恐ろしい「もしも」のシナリオを指摘しています。もし攻撃が1日早い日曜日に発生していたら、月曜未明のバックアップ処理は暗号化されたデータでフルバックアップを実行し、唯一の正常なデータを上書きしてしまっていたでしょう。そうなれば、C社は全てのデータを失っていた可能性がありました。

この教訓は、バックアップ体制を「持っている」ことだけでなく、複数世代の保持や変更不可能な(イミュータブル)ストレージの活用といった戦略の「詳細」がいかに重要であるかを物語っています。

4. 攻撃者は「ハッキング」するのではない。開いているドアを静かに歩いて通り抜けるだけ

攻撃の最終段階は、管理者権限を奪取し、主要サーバーを完全に掌握することでした。これを可能にしたのもまた、基本的なセキュリティ上の欠陥でした。C社の社内PC(PC-S)上で動作していたアプリケーションが、サーバーログイン用の管理者IDとパスワードをメモリ上に不用意に保存してしまうという脆弱性を抱えていたのです。

攻撃者はこの脆弱性を利用して管理者認証情報を盗み出し、C社の各サーバーにログイン。マルウェア対策ソフトウェアのプロセスを強制終了させ、ランサムウェアを実行し、サーバー上の全データを暗号化しました。高度なハッキング技術は、ここには存在しない。ただ、無防備に開け放たれたドアが次々と現れ、攻撃者はそれを淡々と通り抜けていっただけなのだ。

では、これほど静かでmethodicalな侵入の足跡は、どのようにして明らかになったのか?すべては、調査を依頼されたセキュリティ専門家X氏が発した、この最初の指示から始まりました。

"電磁的記録の証拠保全,調査及び分析を行うので,C社内のインターネットと広域イーサネットに接続しているネットワークを遮断した後,全てのPCの使用を停止してください"

Conclusion: Attack Chains and Final Thoughts

C社の事例が我々に突きつける現実は、サイバーセキュリティがもはや単一の「壁」で語れる時代ではないということです。「攻撃の連鎖(アタックチェーン)」の全ての輪で適切な管理と制御を行うことが求められます。このインシデントは、取引先管理、パスワード衛生、バックアップ戦略、そして内部システムの脆弱性管理という、複数の基本的な対策の失敗が重なったときに、いかに壊滅的な事態を招くかを浮き彫りにしました。

最後に、あなたの組織に問いかけてみてください。

「あなたの会社、そして取引先のネットワークには、いくつの『password123456』が隠れているでしょうか?」

tedd707