ITパスポート 令和3年度 問94：セキュリティに関する問題

答えは a「RAT」 です。

RATは、こっそりパソコンに忍び込んで“勝手にリモコン操作”を許してしまう悪いソフトです。攻撃者は遠くから、まるで自分がそのPCの前に座っているかのように、ファイルを盗んだり命令を実行したりできます。

名前も Remote（遠隔）Access（接続）Tool＝「遠隔操作の道具」。ねずみ（rat）のように家に潜り込むイメージで覚えると忘れません。

👉 覚え方：RAT＝こっそり遠隔リモコン乗っ取り。

ほかの選択肢：b VPN＝安全な通信トンネル（正しい道具）／c デバイスドライバ＝機器を動かす部品／d ランサムウェア＝データを人質に身代金を要求するウイルス。

なぜこれが正解か

正解は a。RAT（Remote Access Trojan／Remote Administration Tool）は、感染PCを攻撃者が遠隔から自由に操作できるようにするマルウェア。ファイルの送受信、コマンド実行、キー入力の記録、画面監視などが可能で、標的型攻撃で重要情報を窃取する手口に多用される。

各選択肢の解説

• b VPN：通信を暗号化して安全に接続する正規の技術。攻撃ツールではない。
• c デバイスドライバ：プリンタ等のハードウェアをOSが制御するためのソフトウェア。
• d ランサムウェア：データを暗号化して身代金を要求するマルウェア。遠隔操作が主目的ではない。

覚え方・ひっかけ注意

「RAT＝Remote（遠隔）操作のマルウェア」。dランサムウェアも標的型で登場するが、目的は“身代金”であり“遠隔操作”ではない点で区別。VPNと名前の語感で迷わせる作りに注意。

理論的背景

RAT（Remote Access Trojan）は、標的型攻撃（APT：Advanced Persistent Threat）の攻撃チェーンにおいて「遠隔操作・永続化」フェーズを担うマルウェアである。感染したPCがC2（Command & Control）サーバーとの通信チャネルを確立し、攻撃者はC2経由でコマンドを送信して任意の操作を実行できる。

典型的な侵入から情報窃取までのキルチェーン（MITRE ATT&CKフレームワーク参照）は以下の流れをたどる。

1. 偵察・武器化：標的企業の組織図・メールアドレスをSNSや企業サイトから収集し、実在する取引先を装ったスピアフィッシングメールを作成する。

2. 侵入：メール添付のOfficeドキュメントにマクロやゼロデイ脆弱性を仕込み、開封時にRATを自動インストールする。

3. C2確立：RATはHTTPS通信やDNSトンネリングを使って正規トラフィックに偽装しながらC2サーバーとの通信を確立する。ビーコン間隔をランダム化することで行動分析をすり抜ける。

4. 内部探索・権限昇格（ラテラルムーブメント）：ドメイン管理者アカウントへの権限昇格、Active Directoryの列挙、内部ネットワーク内の他端末へのRATの横展開を行う。

5. 情報窃取・データ流出（エクスフィルトレーション）：機密ファイルを圧縮・暗号化して断続的に外部へ送信する。発見を遅らせるため長期潜伏（数ヶ月〜数年）が特徴。

代表的なRATとしてDarkComet、njRAT、Cobalt Strike（合法的ペネトレーションテストツールでもあるが悪用例多数）、PlugXなどが知られる。

実務での使われ方

防御側の対策体系としては、予防・検知・封じ込め・回復の4フェーズで対応する。検知にはEDR（Endpoint Detection and Response）が有効で、プロセス起動・ネットワーク接続・ファイル変更の振る舞いを継続監視してC2通信の異常パターンを検出する。SIEMと組み合わせたUEBA（User and Entity Behavior Analytics）でも、通常とは異なるアカウントのファイルアクセスパターンを異常検知できる。

ネットワーク側の対策としては、C2への通信ドメイン・IPをDNSフィルタリングやプロキシで遮断するDNSフィルタリングサービス（Cisco Umbrella等）、Webプロキシの強制適用による通信制御が有効。「ゼロトラストネットワーク」ではすべての通信を検査対象とするため、RATがHTTPS偽装しても証明書インスペクションで検出できる。

試験での位置づけ

ITパスポートのセキュリティ分野で「標的型攻撃に使われるマルウェア」の問題として定期出題される。正解導出のポイントは「遠隔操作（Remote Access）」+「トロイの木馬（Trojan）」という2つの特徴のかけ合わせ。問題文の「遠隔から操作」「ファイルの送受信やコマンドを実行」というキーワードが直接RATを示している。

上位資格ではMITRE ATT&CKフレームワークの各戦術（偵察・実行・永続化・権限昇格・横移動・流出）やCyber Kill Chainとの対応まで問われる。情報セキュリティマネジメント試験（SG）ではAPT攻撃の対策として、出口対策（SOC・SIEM）と入口対策（メールフィルタリング）の組み合わせが重要論点となっている。

選択肢の発展補足

選択肢b（VPN）：Virtual Private Networkは正規の遠隔アクセス技術で、通信路をIPsecやTLSで暗号化してセキュアなトンネルを確立する。RATが悪用するC2通信とは目的が真逆だが、攻撃者がVPNの脆弱性（Pulse Secure、Fortinet等での深刻な脆弱性が近年多発）を突いて企業ネットワークへ侵入する踏み台として利用するケースも多い。「VPN＝安全」という思い込みは禁物。

選択肢c（デバイスドライバ）：OSとハードウェアの間のインターフェースを提供するソフトウェア。プリンタやグラフィックカードを動作させるために必要なシステムコンポーネントであり、攻撃ツールではない。しかし悪意あるドライバ（ルートキット）をカーネルレベルで組み込む攻撃手法も存在し、Microsoftは署名なしドライバのロードを制限するSecure Bootで対策している。

選択肢d（ランサムウェア）：標的のデータをAES等で暗号化し、復号キーの提供と引き換えに暗号資産での身代金支払いを要求するマルウェア。LockBit・Conti・REvilなどのグループが組織的に運営するRaaS（Ransomware as a Service）エコシステムが問題化している。RATで内部探索を行った後にランサムウェアを展開するという「二段攻撃」が近年の主流で、RATとランサムウェアは補完関係にあることも押さえておきたい。