平成29年度 秋期 ITパスポート試験 公開問題 問94 解説 ウイルス感染時の対応

ウイルス感染が疑われる事態において、最も優先すべきは「被害の拡大防止」です。選択肢の中で、ネットワーク経由での拡散や情報流出を物理的に阻止できる唯一の手段である「ネットワークからの切断」が正解となります。

ウイルス対策の鉄則：被害を最小限に抑える

情報セキュリティの現場では、ウイルス感染や不正アクセスが疑われる際、以下の優先順位で行動することが推奨されています。

1. 被害の拡大防止（ネットワークの切断）
2. 被害状況の把握と報告
3. 被害範囲の特定と復旧

なぜネットワークから切断するのか

ウイルスの中には、感染したPCを起点として、社内のサーバーや他のPCへ自己複製して広がるもの（ワームなど）や、PC内の機密情報を外部の攻撃者サーバーへ送信するものがあります。PCがネットワーク（LANやWi-Fi）に接続されたままだと、ウイルス対策ソフトが駆除を試みている間も、バックグラウンドでこれらの通信が継続されるリスクがあります。物理的にLANケーブルを抜く、またはWi-Fiをオフにすることで、これらの通信を即座に遮断し、被害が組織全体に広がるのを防ぐ必要があります。

他の選択肢が不適切な理由

PCの再起動（ア）を行うと、メモリ上の情報が消えてしまい、原因究明に必要な証拠（ログなど）が失われる可能性があります。また、再起動のプロセスで通信が発生し、被害が拡大する恐れもあります。

電子メールによる通知（イ）は、まずPCをネットワークから隔離してから行うべき行為です。感染したPCからメールを送信しようとすれば、ネットワークを介してウイルスが添付ファイルやリンク経由でさらに拡散する恐れがあります。

ファイルのバックアップ（エ）についても、感染した状態でバックアップを取ると、ウイルスを含んだファイルまで保存してしまうことになります。それだけでなく、バックアップ作業中にネットワークやUSBメモリを介してウイルスが他のシステムや媒体へ感染するリスクが高まります。

実務における注意点

実際の現場では、ネットワークを切断した後は、慌てて自己判断でOSの再インストールや初期化を行うのではなく、速やかに組織内の情報セキュリティ担当部署（または管理者）へ報告し、指示を仰ぐことが重要です。個人の判断で不用意な操作を行うと、重要なログが削除され、いつ、どの経路で感染したのかという根本原因がわからなくなるからです。

IPA 独立行政法人 情報処理推進機構：情報セキュリティ安心相談窓口 https://www.ipa.go.jp/security/anshin/

総務省：国民のための情報セキュリティサイト https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/

JPCERT コーディネーションセンター：インシデント対応の手引き https://www.jpcert.or.jp/magazine/series/incident/