ITパスポート 令和4年度 問56：情報セキュリティ・マルウェア対策に関する問題

答えは a「外せる外部の記録装置に定期的にバックアップ」 です。

ランサムウェアは、パソコンの中のファイルを勝手にカギで閉じて『元に戻してほしければお金を払え』とおどしてくるウイルスです。

もし大事なデータの“コピー”を別の場所に取っておけば、たとえ本体がやられても、そのコピーから元通りにできますよね。だから損害を“軽く”できるんです。ポイントは、コピーをパソコンから『外せる』装置に取ること（つなぎっぱなしだと一緒にやられるため）。

👉 覚え方：『コピーを別に持っておけば、人質に取られても怖くない』。

ほかの選択肢：b パスワードを使い分ける、c ウイルス検査、d 無線の暗号化…どれもセキュリティ対策ですが『やられた後に立ち直る』対策ではありません。

なぜこれが正解か

正解は a。設問は『損害を受けてしまった“場合を想定”して、その損害を軽減する』対策＝事後の復旧（被害低減）策を問うている。ランサムウェアはファイルを暗号化して身代金を要求するため、取外し可能な外部記憶装置に定期的にバックアップしておけば、感染後もバックアップから復元でき被害を最小化できる。

各選択肢の解説

• b：ID・パスワードの使い分けはパスワードリスト攻撃などへの“予防”策で、ランサム被害の軽減（復旧）とは目的が異なる。
• c：マルウェア対策ソフトでの全ファイル検査は感染を防ぐ／検出する“予防・検知”策。被害を受けた後の損害軽減そのものではない。
• d：WPA2による無線の暗号化は通信の盗聴防止策で、ランサム被害とは無関係。

覚え方・ひっかけ注意

キーは『損害を受けてしまった場合＝事後対策＝バックアップ』。b・c・dはどれも正しいセキュリティ対策だが“予防”寄り。『被害後に立て直す』という設問の意図に合うのはバックアップだけ。バックアップは“取外し可能（オフライン）”が重要で、常時接続だと一緒に暗号化される点も狙われる。

理論的背景

ランサムウェア（Ransomware）は感染したシステム上のファイルを暗号化し、復号キーと引き換えに身代金（Ransom）を要求するマルウェアの一種である。1989年に「AIDS Trojan」が最初の事例とされるが、2013年のCryptoLockerの登場以降ビットコイン等の暗号通貨を要求する手法が確立し、RaaS（Ransomware as a Service）として攻撃者がサービスとして販売するビジネスモデルに発展している。

正解aの「PCから取り外し可能な外部記憶装置への定期バックアップ」がランサムウェアの損害軽減に最も有効な理由は、ランサムウェアの損害の本質が「ファイルへのアクセス不能（暗号化）」であり、オフラインバックアップから復元することで身代金を支払わずに業務復旧が可能だからである。「取り外し可能な（外付けHDD・USB）」という条件が重要で、ネットワーク接続された共有ドライブや常時接続のNASは感染拡大の対象になるためオフラインの物理メディアによるバックアップが最も確実である。

バックアップ戦略の標準として「3-2-1ルール」が推奨されている。3つのコピー（オリジナル＋バックアップ2つ）・2種類の異なるメディア（HDD＋テープ等）・1つをオフサイト（物理的に別の場所）に保管するという原則で、ランサムウェア対策としてさらに「3-2-1-1」（1つはオフライン・エアギャップ保管）の拡張版も推奨されている。

実務での使われ方

企業でのランサムウェア対策として、技術的対策と運用的対策の組み合わせが標準化されている。技術的対策として①EDR（Endpoint Detection and Response）の導入：振る舞い検知でランサムウェアの暗号化動作を検知・自動隔離。②ネットワークセグメンテーション：感染拡大をセグメント内に封じ込める。③特権アクセス管理（PAM）：管理者権限の最小化・多要素認証によるラテラルムーブメント防止。④ 不変バックアップ（Immutable Backup）：Azure Blob Storage・AWS S3のWORM（Write Once Read Many）ポリシーで一定期間削除不可にするクラウドバックアップ。

選択肢bの「WebサービスごとのID・パスワードの使い分け」はパスワードリスト攻撃（クレデンシャルスタッフィング）への対策として有効であるが、ランサムウェアに感染した後の「損害軽減」には直接貢献しない。選択肢cの「マルウェア対策ソフトでの事前検査」はランサムウェアへの「予防対策」として有効だが、感染後の損害軽減ではない。選択肢dの「WPA2による無線LAN暗号化」はネットワーク盗聴対策であり、ランサムウェアの損害軽減とは論点が異なる。

試験での位置づけ

ITパスポートのマルウェア対策分野では「ランサムウェアの定義・対策・損害軽減策」が近年出題頻度が急増しており、特に「予防対策」と「損害軽減（被害後の回復）対策」を区別する問題が増えている。本問の核心は「バックアップが損害軽減策」という識別であり、他の選択肢（b・d）が予防または無関係な対策として配置されている点を見抜く必要がある。

基本情報技術者（FE）・情報セキュリティマネジメント試験（SG）では、ランサムウェア・標的型攻撃・フィッシング・不正プログラムの種類（ウイルス・ワーム・トロイの木馬・バックドア・スパイウェア・アドウェア等）と対策の詳細が問われる。情報処理安全確保支援士（SC）ではRaaS（Ransomware as a Service）のエコシステム、ランサムウェアの侵入経路（RDP侵害・フィッシング・脆弱性悪用）、インシデント対応（封じ込め・根絶・復旧）の手順まで試験範囲に含まれる。

選択肢の発展補足

ランサムウェアの近年の進化として「二重脅迫（Double Extortion）」がある。2019年頃から主流になった手法で、ファイルを暗号化するだけでなく暗号化前にデータを窃取し「身代金を払わなければ機密データを公開する」と二重に脅迫する。バックアップからの復旧で業務再開できても、データ漏洩の脅威は残るため、バックアップ対策だけでは完全な対応にならない点が現代的な課題である。さらに「三重脅迫（Triple Extortion）」では顧客・取引先に直接連絡して圧力をかけるケースも報告されている。

選択肢dのWPA2（Wi-Fi Protected Access 2）はIEEE 802.11iに基づくAES-CCMP暗号化を使用した無線LAN標準で、WEPの脆弱性（RC4・CRCの組み合わせ）を解決した実用的な規格である。2018年に発表されたWPA3はSAE（Simultaneous Authentication of Equals）を使ってより強固な認証を実現し、パスワードの総当たり攻撃への耐性を高めている。無線LANセキュリティはランサムウェア侵入経路の一部（企業ネットワークへの不正アクセス経路）にはなり得るが、本問の「損害を軽減するための対策」という文脈からは直接の関連性が薄い。