情報セキュリティ

基本情報技術者試験マルウェア」の問題

情報セキュリティ情報セキュリティ難易度:normal
D社の担当者が業務PCを使用中、自分は何も操作していないのにマウスポインタが勝手に動き、ファイルが開かれて内容が閲覧される様子を目撃した。後の調査で、攻撃者が外部から当該PCを実時間で操作していたことが分かった。このとき仕込まれていたと考えられるマルウェアはどれか。
既存の実行ファイルへ寄生し、感染したファイルの起動を契機に複製を増やすウイルス。
保存済みのファイルをまとめて暗号化し、復号鍵の引き渡しを盾に金銭を要求するランサムウェア。
通信機能の欠陥を突いて隣の端末へ自分の複製を送り込み増殖を続けるワーム。
攻撃者の手元の端末のように画面とファイルを実時間で動かせる遠隔制御を与えるRAT。
正解
攻撃者の手元の端末のように画面とファイルを実時間で動かせる遠隔制御を与えるRAT。

利用者が操作していないのにポインタが動きファイルが開かれ、攻撃者が外部から実時間で端末を制御していた点が決め手である。これはRAT(Remote Access Trojan、遠隔操作型マルウェア)の典型であり、攻撃者が感染端末を自分の手元のように直接操作できる。

?選択肢ごとの解説

ア ×ウイルスは宿主への寄生と実行による増殖が特徴であり、外部からの実時間遠隔操作という本件の挙動を説明しない。
イ ×ランサムウェアはファイル暗号化と金銭要求が特徴であり、攻撃者による直接操作という本件の現象とは異なる。
ウ ×ワームは自力で感染を拡大するのが特徴であり、特定端末を外部から手動操作する本件の状況に合わない。
エ ○利用者が操作していないのにポインタが動きファイルが開かれ、攻撃者が外部から実時間で端末を制御していた点が決め手である。これはRAT(Remote Access Trojan、遠隔操作型マルウェア)の典型であり、攻撃者が感染端末を自分の手元のように直接操作できる。

くわしく

RATは攻撃者に対話的な遠隔制御を与えるマルウェアで、画面操作・ファイル操作・カメラやマイクの起動まで可能にする。トロイの木馬の一種として配布され、潜伏してC&C経由で操作される点が脅威である。

本番での押さえどころ

試験のコツ

『攻撃者が外部から実時間で端末を直接操作(ポインタが動く等)』はRAT。自動一斉のボットと区別する。

覚え方

RATのRはRemote(遠隔)。攻撃者が自分のPCのように相手の画面を動かすと覚える。

よくある誤り

『遠隔操作=ボット』と早合点しがちだが、ボットは一斉自動攻撃の手下、RATは特定端末への対話的手動操作という運用の違いがある。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0052

【基本情報技術者試験】マルウェアの問題 — 解答・解説|ukamiru 過去問