ITパスポート 令和7年度 問92：securityに関する問題

答えは a です。

ランサムウェアは、パソコンのデータを勝手に暗号化して開けなくし、「元に戻してほしければお金を払え」と脅すウイルスです。

いちばん効くのは、別の場所に“データの控え（バックアップ）”を取っておき、しかもネットから切り離して保管しておくこと。そうすれば、データを人質に取られても、控えから元どおりにできます。

👉 覚え方：ランサム対策の決め手は「ネットから切り離したバックアップ」。

ほかの選択肢：b 多要素認証／c HDD暗号化／d パスワードロックは“侵入や盗み見を防ぐ”対策で、感染後の被害を減らすものではありません。

なぜこれが正解か

正解は a。設問は「感染した場合の損害を軽減する対策」。ランサムウェアはデータを暗号化して使えなくするため、ネットワークから切り離して保管したバックアップ（オフラインバックアップ）があれば、データを復元でき被害を最小化できる。

各選択肢の解説

• b 多要素認証：不正ログインを防ぐ“侵入対策”。感染後の損害軽減には直接効かない。
• c HDD暗号化：盗難・紛失時の情報漏えい対策。ランサムには無力（暗号化されてもデータ自体は人質に取られる）。
• d パスワード複数回ミスでIDロック：総当たり攻撃対策。感染後の被害軽減ではない。

覚え方・ひっかけ注意

キーワードは「損害を軽減（＝感染後の復旧）」。予防策（b〜d）と被害軽減策（a＝バックアップ）を区別。特にバックアップは“ネットから切り離す”のが肝（オンラインのままだと一緒に暗号化される）。

理論的背景

ランサムウェア（Ransomware）はファイルを暗号化または端末をロックし、復号・解除と引き換えに身代金（Ransom）を要求するマルウェアである。正解はaの「ファイルサーバのHDDのバックアップデータを定期的に取得し、ネットワークから切り離して保管する」が損害を軽減する最も有効な対策である。

ランサムウェアの攻撃手法の進化を技術的に詳述する。第1世代ランサムウェア（2013年〜CryptoLocker等）：感染した端末のファイルをAES暗号化し、C2サーバから受け取った公開鍵（RSA）でAES鍵を暗号化。身代金支払いにBitcoinを要求。第2世代（2017年〜WannaCry・NotPetya）：NSAが開発したEternalBlue（SMBv1脆弱性悪用）でネットワーク越しに自己増殖・横展開する「ワーム型ランサムウェア」。第3世代（2020年〜REvil・DarkSide・LockBit等）：「二重脅迫（Double Extortion）」としてデータを暗号化する前に窃取し、身代金を払わなければデータを公開すると脅す戦術。RaaS（Ransomware as a Service）モデルで攻撃を組織化。

オフラインバックアップが正解である理由：ランサムウェアの多くはネットワーク接続されたドライブ・共有フォルダ・クラウドドライブも対象に暗号化する。ネットワークから切り離したバックアップ（オフラインバックアップ・エアギャップバックアップ）のみがランサムウェアによる破壊を免れる可能性が高い。3-2-1バックアップ戦略（3つのコピー・2種類のメディア・1つはオフサイト）が業界標準として推奨されている。

実務での使われ方

ランサムウェア対策は現代の企業のセキュリティ投資において最優先課題の一つである。2021年の米国コロニアル・パイプライン事件（石油パイプラインが6日間停止・450万ドルの身代金支払い）・国内では2021年の徳島県つるぎ町立半田病院事件（診療停止・電子カルテ復旧2ヶ月）などが社会的衝撃を与えた。

多層防御としてのランサムウェア対策体系：予防層「侵入阻止」（メールフィルタリング・EDR・脆弱性管理・アクセス権の最小化・MFA導入・ネットワークセグメンテーション）・検知層「感染検知」（EDRの振る舞い検知・SIEM・SOC監視）・対応層「被害最小化」（インシデント対応手順・感染端末のネットワーク隔離・フォレンジック調査）・回復層「事業継続」（オフラインバックアップからの復元・BCP発動）。本問はこの回復層のオフラインバックアップが「損害を軽減する」という観点から問われている。

試験での位置づけ

ランサムウェアの対策はITパスポートのセキュリティ分野で近年頻繁に出題されるようになった領域であり、「被害を受けた後でも事業を継続・復旧できるようにする」というBCP（事業継続計画）・DR（災害復旧）との関連で問われることも多い。本問のポイントは「多要素認証（b）・暗号化（c）・アカウントロック（d）はランサムウェアによる被害を受けた後の損害軽減（=復旧能力）に直接貢献しない」という点であり、感染後のファイル復号のために有効なのはバックアップからの復元だけであることを理解していれば確実に正答できる。

基本情報技術者試験ではランサムウェアの技術的動作（暗号化アルゴリズム・C2通信・横展開手法）・RaaS（Ransomware as a Service）のビジネスモデル・インシデントレスポンス（NIST SP 800-61）・SOAR（Security Orchestration, Automation and Response）による対応自動化まで問われる可能性がある。

選択肢の発展補足

選択肢bの多要素認証（MFA）はランサムウェアの侵入経路となるフィッシングメール・クレデンシャルスタッフィングによる不正ログインを防ぐ予防的対策として非常に有効である。しかし既に感染した後の「損害軽減」という観点では、ファイルが暗号化されてしまった後にMFAが損害を小さくする直接的な効果はない。選択肢cのHDD暗号化は盗難・紛失時の情報漏洩を防ぐ物理的セキュリティ対策として有効であるが、ランサムウェアは端末への感染後にOS上でファイルを暗号化するため、既存のHDD暗号化があっても攻撃者がOSの動作環境を使ってファイルを暗号化することを防ぐことはできない。選択肢dのパスワード誤入力によるアカウントロックは総当たり攻撃・パスワードスプレー攻撃への対策であり、ランサムウェアが感染後にファイル暗号化を行う段階での「損害軽減」には直接寄与しない。オフラインバックアップの重要性は「ランサムウェアが届かない場所にデータのコピーを保持する」という単純明快な原理に基づいており、最も確実な事業継続性の担保である。