対象試験と出題頻度
「データを人質に金を要求する」
映画の誘拐犯のような手口を、そのままデジタル空間でやってのけるのがランサムウェアです。
実在の企業が事業停止に追い込まれ、病院がカルテにアクセスできなくなる被害が毎年のように起きており、IPAの「情報セキュリティ10大脅威」でも組織部門の首位常連です。だからこそIT パスポートから応用情報技術者まで、全試験区分で出題されます。
ランサムウェアは数あるマルウェアの中でも、被害の生々しさと対策の問われやすさで群を抜いています。ワームやトロイの木馬といった他の不正プログラムとセットで「どれが身代金を要求するか」を識別させる問題が定番です。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
セキュリティを勉強していると、「ランサムウェアってウイルスと何が違うの?」と引っかかる人が多いです。まずは正体をはっきりさせましょう。
ランサムウェア(Ransomware)とは、一言で言うと
「データを暗号化して使えなくし、元に戻すことと引き換えに身代金を要求するマルウェア」
のことです。語源は「ransom(身代金)」+「software(ソフトウェア)」を組み合わせた造語です。
イメージとしては、「家の金庫に勝手に新しい鍵をかけられる泥棒」です。
金庫(あなたのデータ)の中身は盗まれていません。
ただ、泥棒が付け替えた鍵がないと開けられない。その鍵を「金を払えば渡してやる」と言ってくる。これがランサムウェアのやり口です。
なお、マルウェアの種類と違い|12種の分類・見分け方をわかりやすく解説でも触れていますが、ウイルスやワームが「壊す・増える」のに対し、ランサムウェアは「カネを取る」ことが目的の点が決定的に違います。
📊 ランサムウェアの基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Ransomware |
| 分類 | マルウェア(悪意のあるソフトウェア)の一種 |
| 攻撃の目的 | 金銭(身代金)の搾取 |
| 主な手口 | ファイルの暗号化、または画面ロック |
解説
このセクションでは「どう侵入し、どう動き、なぜ厄介なのか」を掘り下げます。
攻撃の流れ → 成功する理由 → 対策の順に追っていきましょう。
攻撃の流れ(4ステップ)
典型的なランサムウェアは、次の4段階で被害を広げます。
STEP 1 侵入
メールの添付ファイルや不正サイト、ソフトの脆弱性を突いて内部に入り込む
STEP 2 潜伏・拡散
すぐには動かず、社内ネットワークや共有フォルダへ静かに広がっていく
STEP 3 暗号化
標的のファイルを一斉に暗号化し、開けない状態にしてしまう
STEP 4 脅迫
画面に要求文を表示し、復旧と引き換えに身代金を迫る
※ 身代金を払っても、データが戻る保証はありません
なぜ復旧が難しいのか
暗号化に使われるのは公開鍵暗号方式(RSAなど)が中心です。
攻撃者だけが秘密の復号鍵を握り、被害者側には公開鍵で施錠された状態だけが残ります。
鍵の長さが2048ビットといった水準になると、力ずくで解くのは事実上不可能です。だから「金を払うしかない」状況に追い込まれます。
公開鍵で施錠 → 秘密鍵でしか解錠できない
あなたのファイル
開けない状態
(攻撃者だけが保有)
手口の進化:二重恐喝とRaaS
近年は単なる暗号化に留まりません。データを暗号化する前に盗み出し、「払わなければ機密を公開する」と二段構えで迫る二重恐喝(ダブルエクストーション)が主流になりました。
バックアップで復旧できても、情報漏えいのカードが残るため被害者は逃げにくくなります。
さらに、攻撃ツールをサービスとして貸し出すRaaS(Ransomware as a Service)が登場し、技術力のない者でも攻撃に参入できるようになりました。
これが被害件数を押し上げている背景です。ゼロトラストのような前提を疑う防御思想が重視されるのも、この脅威の広がりが理由です。
他のマルウェアとの比較
| 種類 | 目的・特徴 | 見分けキーワード |
|---|---|---|
| ランサムウェア | 暗号化して身代金を要求 | 身代金、暗号化、復号 |
| ワーム | 自己増殖して感染を広げる | 自己複製、単独で活動 |
| トロイの木馬 | 正規ソフトを装い侵入 | 偽装、潜伏 |
| スパイウェア | 情報を盗み外部へ送信 | 情報収集、盗聴 |
💡 覚えるのはここだけ|3行整理
・データを暗号化して身代金を要求するマルウェア(語源は ransom+ware)
・公開鍵暗号で施錠されるため、鍵がなければ復旧はほぼ不可能
・対策の本命はオフライン/追記不可(WORM)バックアップ。常時接続の複製は無意味
では、この知識が実際の問題でどう問われるかを確認します。
試験ではこう出る!
出題は「言葉の意味を選ばせる型」と「有効な対策を選ばせる型」の2系統に分かれます。特に後者は受験生の正答率が割れる難所です。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R5秋 午前 問43 |
感染による被害低減に効果がある対策を選ぶ問題。 | ・正解はWORM機能を持つストレージへのバックアップ ・RAID5・常時レプリケーション・共有フォルダはひっかけ |
| IP R7 問92 |
感染時の損害を軽減する対策例として適切なものを選ぶ問題。 | ・定期的にバックアップを取り隔離保管する選択肢が正解 ・「定期バックアップ+隔離」が鉄板キーワード |
| IP H25春 問62 |
用語の意味そのものを問う問題。 | ・「データを暗号化し復元プログラムを買うよう迫る」が正解 ・用語の定義型の典型 |
| FE R7 科目A 問9 |
復号鍵が公開された事例など、マルウェア関連の識別問題。 | ・暗号化型ランサムウェアの動作理解が前提 ・他のマルウェアとの混同を狙う |
📝 IPA試験での出題パターン
パターン1:用語の意味を選べ
マルウェアの説明文が4つ並び、ランサムウェアに該当するものを選ぶ形式。キーワードは「暗号化」「身代金」「復号」。自己増殖(ワーム)や情報送信(スパイウェア)の説明がひっかけで混ざる。
パターン2:有効な対策を選べ
AP R5秋やIP R7のように、被害低減策を選ばせる形式。ここが最大の落とし穴で、「RAID」「常時レプリケーション」「ネットワーク共有フォルダへのバックアップ」はすべて不正解。これらは常時接続のため一緒に暗号化されるからだ。正解はオフライン保管またはWORM(追記のみ・上書き不可)のバックアップ。「可用性向上の仕組み=ランサム対策」と早合点させる引っかけが頻発する。
【確認テスト】理解度チェック
Q. ランサムウェアの説明として、最も適切なものはどれでしょうか?
- A. 自分自身の複製を作りながらネットワーク内を移動し、感染範囲を自律的に拡大していく不正プログラムである。
- B. 感染したコンピュータ内のデータを暗号化して利用できなくし、復旧と引き換えに金銭(身代金)を要求する不正プログラムである。
- C. 利用者に気づかれないよう端末内の情報を収集し、外部の攻撃者へひそかに送信する不正プログラムである。
正解と解説を見る
正解:B
解説:
選択肢Bは、データを暗号化して使えなくし、復旧のために身代金を要求するという、まさにランサムウェアの本質を述べています。「暗号化」「身代金(金銭要求)」の2語が揃っているのが決め手です。
選択肢Aはワームの説明です。自己増殖して感染を広げる点が特徴で、金銭を要求するわけではありません。選択肢Cはスパイウェアの説明です。情報をひそかに盗み出して外部送信するもので、データを人質に取って金銭を要求する動作はしません。それぞれ目的も挙動も異なるため、混同しないようにしてください。
よくある質問(FAQ)
Q. 身代金を払えば本当にデータは戻ってきますか?
戻る保証はありません。IPAも警察庁も支払いを推奨していません。実際に支払っても復号鍵が渡されない、あるいは一部しか復旧できない事例が多数報告されています。さらに支払いは攻撃者の資金源となり、「払う組織」として再攻撃の標的にされるリスクも高まります。試験でも「支払えば必ず復旧できる」という選択肢は誤りとして扱われます。
Q. なぜRAIDやレプリケーションはランサムウェア対策にならないのですか?
RAIDやリアルタイムの複製は「ハードウェア故障」への備えであって、論理的な改ざんには無力だからです。ランサムウェアは接続中のディスクや複製先も丸ごと暗号化します。常時つながっている保存先は「同時にやられる」と考えてください。有効なのは、バックアップ時だけ接続するオフライン保管や、上書き不可のWORMストレージです。AP R5秋 午前問43はまさにこの区別を問いました。
Q. 二重恐喝の場合、バックアップがあっても安心できないのはなぜですか?
バックアップで復旧できるのは「暗号化された業務データ」だけだからです。二重恐喝では暗号化の前にデータを窃取しており、「払わなければ顧客情報を公開する」という情報漏えいのカードが手元に残ります。これは復旧では消せません。だからこそ、そもそも侵入させない入口対策と、データを持ち出させない監視が併せて重要になります。
Q. 実務では感染したらまず何をしますか?
最初の行動は「ネットワークからの隔離」です。感染端末をLANから切り離し、共有フォルダや他の端末への横展開を止めます。電源を即落とすのではなくネットワーク遮断を優先するのは、メモリ上の証拠保全と被害範囲の特定のためです。その後CSIRTや専門機関へ連絡し、バックアップからの復旧可否を判断します。慌てて再起動しない、という初動が被害規模を左右します。
