基本情報技術者試験「マルウェア」の問題
D社の担当者が業務PCを使用中、自分は何も操作していないのにマウスポインタが勝手に動き、ファイルが開かれて内容が閲覧される様子を目撃した。後の調査で、攻撃者が外部から当該PCを実時間で操作していたことが分かった。このとき仕込まれていたと考えられるマルウェアはどれか。
ア既存の実行ファイルへ寄生し、感染したファイルの起動を契機に複製を増やすウイルス。
イ保存済みのファイルをまとめて暗号化し、復号鍵の引き渡しを盾に金銭を要求するランサムウェア。
ウ通信機能の欠陥を突いて隣の端末へ自分の複製を送り込み増殖を続けるワーム。
エ攻撃者の手元の端末のように画面とファイルを実時間で動かせる遠隔制御を与えるRAT。
正解
エ.攻撃者の手元の端末のように画面とファイルを実時間で動かせる遠隔制御を与えるRAT。
利用者が操作していないのにポインタが動きファイルが開かれ、攻撃者が外部から実時間で端末を制御していた点が決め手である。これはRAT(Remote Access Trojan、遠隔操作型マルウェア)の典型であり、攻撃者が感染端末を自分の手元のように直接操作できる。
?選択肢ごとの解説
ア ×ウイルスは宿主への寄生と実行による増殖が特徴であり、外部からの実時間遠隔操作という本件の挙動を説明しない。
イ ×ランサムウェアはファイル暗号化と金銭要求が特徴であり、攻撃者による直接操作という本件の現象とは異なる。
ウ ×ワームは自力で感染を拡大するのが特徴であり、特定端末を外部から手動操作する本件の状況に合わない。
エ ○利用者が操作していないのにポインタが動きファイルが開かれ、攻撃者が外部から実時間で端末を制御していた点が決め手である。これはRAT(Remote Access Trojan、遠隔操作型マルウェア)の典型であり、攻撃者が感染端末を自分の手元のように直接操作できる。
✎くわしく
RATは攻撃者に対話的な遠隔制御を与えるマルウェアで、画面操作・ファイル操作・カメラやマイクの起動まで可能にする。トロイの木馬の一種として配布され、潜伏してC&C経由で操作される点が脅威である。
✓本番での押さえどころ
試験のコツ
『攻撃者が外部から実時間で端末を直接操作(ポインタが動く等)』はRAT。自動一斉のボットと区別する。
覚え方
RATのRはRemote(遠隔)。攻撃者が自分のPCのように相手の画面を動かすと覚える。
よくある誤り
『遠隔操作=ボット』と早合点しがちだが、ボットは一斉自動攻撃の手下、RATは特定端末への対話的手動操作という運用の違いがある。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0052