問題本文
企業内において,不審な相手から届いた電子メールの添付ファイルを誤って開いてしまったところ,使用していたPCがウイルス感染を強く疑う挙動を示した。このPCの使用者がまず最初に取るべき行動として,適切なものはどれか。
選択肢
- ア.ウイルス定義ファイルを最新にし,ウイルスの検査と駆除を行う。
- イ.その電子メールを削除し,PCを再起動する。
- ウ.ネットワークからPCを切り離してシステム管理者に連絡する。
- エ.ハードディスクを初期化の上,OSを再インストールする。
正解
ウ. ネットワークからPCを切り離してシステム管理者に連絡する。
解説
ウイルス感染が疑われる場合の初動対応として最優先すべきことは、感染PCをネットワークから切り離すことである。感染したまま接続を続けると、同一ネットワーク内の他の端末へウイルスが拡散したり、外部のC&Cサーバ(Command and Control)と通信して被害が拡大するリスクがある。切り離し後はシステム管理者に報告し、組織の手順に従って対応を進める。ウイルス検査・駆除・再インストールなどの具体的処置は管理者の指示を受けてから行う。この「ネットワーク切離し→管理者報告」の順序は情報セキュリティインシデント対応の基本手順として押さえておく必要がある。
選択肢ごとの解説
- ア.誤り。ウイルス定義ファイルの更新と検査・駆除を先に行うことは問題がある。ネットワークに接続したままだと、検査中にウイルスが他の端末に拡散したり、C&Cサーバに情報を送信し続ける可能性がある。また、定義ファイル更新のためにネット通信を行うこと自体がリスクになりうる。
- イ.誤り。メールを削除してPCを再起動しても感染自体は解消されない。再起動によってウイルスが自動起動されたり活動が再開されることもある。また、メールの削除はデジタルフォレンジックス調査の証拠を失うことになり、感染経路の特定や原因究明を困難にするため、初動としては不適切な行動である。
- ウ.正しい。ネットワークからPCを物理的に切り離す(LANケーブルを抜く、Wi-Fiをオフにする)ことが最優先の初動対応。これにより感染拡大・外部通信を即座に遮断できる。その後、システム管理者に連絡して組織のインシデント対応手順に従い、証拠保全・駆除・再発防止を進める。
- エ.誤り。ハードディスクの初期化とOSの再インストールは最終的な復旧手段であり、まず実施すべき行動ではない。初期化前にインシデントの原因・影響範囲の調査、証拠の保全、管理者への報告が必要。管理者の指示なしに独断で初期化するとデータ消失や調査妨害になる可能性がある。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問82