令和4年度 ITパスポート試験 公開問題 問100 解説 マルウェア感染時の初動

マルウェア感染が疑われる事象に直面した際の鉄則は、二次被害を防ぐための迅速な隔離です。選択肢の中から「ネットワークから切り離す」という、被害拡大を最小限に抑えるための最優先アクションを選ぶのが正解です。

インシデント発生時の初動対応：隔離の重要性

PCがマルウェアに感染した疑いがある場合、最も警戒すべきは「被害の拡大」です。感染したPCがネットワークに繋がったままだと、以下のようなリスクが発生します。

・他のPCやサーバーへの感染拡大：社内ネットワークを介して、ワームなどが他の端末へ自動的に拡散される恐れがあります。 ・情報の外部送信：PC内の機密情報や個人情報が、攻撃者のサーバーへ自動的にアップロードされる可能性があります。 ・遠隔操作：攻撃者がネットワーク経由でさらに悪意のあるプログラムを送り込み、PCを完全に掌握（踏み台化）する恐れがあります。

これらのリスクを瞬時に遮断するため、有線であればLANケーブルを抜く、無線であればWi-Fiをオフにする（または機内モードにする）ことが、ITの現場におけるセオリーです。

他の選択肢が不適切な理由

アの再インストールは、問題の根本解決にはなる可能性がありますが、感染状況が不明な状態でPCを操作し続けることは、さらなる被害拡大を招くリスクがあり、初動としては誤りです。 イの定義ファイルの更新は、マルウェアを駆除する手段の一つではありますが、隔離を行う前にネットワークに繋いだまま更新作業を行うのは非常に危険です。ネットワークから隔離した後に実施すべき手順です。 エの暗号化方式の変更は、通信の盗聴防止などには有効ですが、すでにマルウェアが侵入したPCの対応としては本質的ではありません。

初動対応の優先順位

企業活動においてセキュリティ事故が発生した際は、以下のステップで考えるのが基本です。

1. 隔離：ネットワークから切り離し、これ以上の拡散を防ぐ（今回の問題の回答）
2. 確認：隔離した環境で、マルウェア対策ソフトによるスキャンや詳細なログ調査を行う
3. 報告：組織の責任者や情報セキュリティ担当者へ速やかに連絡する
4. 復旧：必要に応じて初期化やバックアップからの復元を行う

情報セキュリティマネジメントの試験などにおいても、「初動対応は常に被害の拡大防止を最優先にする」という原則を覚えておくと、類似の状況判断問題で迷うことがなくなります。

国民のための情報セキュリティサイト（総務省） IPA 独立行政法人 情報処理推進機構：情報セキュリティの脅威に対する対策（一般利用者向け） IPA 独立行政法人 情報処理推進機構：中小企業の情報セキュリティ対策ガイドライン付録：標的型攻撃による被害を防ぐために