基本情報技術者 2016年秋期午前（科目A）問41

問題文

サーバにバックドアを作り、サーバ内での侵入の痕跡を隠蔽するなどの機能をもつ不正なプログラムやツールのパッケージはどれか。

選択肢

ア：RFID

イ：rootkit（正解）

ウ：TKIP

エ：web beacon

サーバにバックドアを作り、サーバ内での侵入の痕跡を隠蔽するなどの機能をもつ不正なプログラムやツールのパッケージはどれか。【午前2 解説】

要点まとめ

結論: 正解はイのrootkit。サーバ上にバックドアを仕込み、ログや痕跡を隠蔽して不正アクセスを継続させるツール群です。
根拠: rootkitはOSや管理ツールに潜伏し、プロセス・ファイル・ログ表示を改竄して侵入痕跡を隠す機能を持つため該当します。
差がつくポイント: RFIDは識別技術、TKIPは無線暗号の方式、web beaconは追跡用埋め込み技術であり痕跡隠蔽機能はありません。

正解の理由

イのrootkitは「侵入者がサーバ内での存在を維持し、検知を回避するためのソフトウェア群」を指します。具体的にはバックドア設置、ログ改竄、プロセスやファイルの隠蔽、ネットワーク通信の偽装などを行い、攻撃の痕跡を消したり管理者の目を逸らす機能を持ちます。問題文の「バックドアを作り」「侵入の痕跡を隠蔽する」との記述はrootkitの定義に合致するため正解です。

よくある誤解

「rootkit＝ただの権限昇格ツール」と考える誤解：rootkitは権限取得後に痕跡隠蔽や永続化を行うツール群で、単なる権限昇格とは役割が異なります。
「web beaconやトラッキングコードがrootkitのように痕跡を消す」と誤認する点：web beaconは追跡や計測が目的であり、サーバ内で痕跡を隠す機能はありません。
「TKIPやRFIDを見ればマルウェアか分かる」と思う誤り：TKIPは無線暗号の一要素、RFIDは識別技術であり、どちらも不正プログラムのカテゴリではありません。

解法ステップ

問題文中のキーワード（バックドア、痕跡を隠蔽）を抽出する。
各選択肢の定義を思い出す：RFID（無線識別）、rootkit（痕跡隠蔽＋永続化）、TKIP（無線暗号方式）、web beacon（追跡用埋め込み）。
キーワードと一致するものを選ぶ（痕跡隠蔽＝rootkit）。
他選択肢の用途が合わないことを確認して解答確定。

選択肢別の誤答解説

ア: RFID — 無線周波数で物品や個体を識別する技術であり、不正アクセスの痕跡隠蔽を行うプログラム類ではありません。
イ: rootkit — 正解。システム内に潜伏してバックドア設置やログ改竄、プロセス・ファイルの隠蔽などを行い侵入痕跡を消します。
ウ: TKIP — Wi‑Fiの暗号化補助（Temporal Key Integrity Protocol）で、通信保護に関する仕様でありマルウェアの種類ではありません。
エ: web beacon — Webページやメールに埋め込まれる追跡用リソースで、ユーザ行動の計測やトラッキングが目的であり痕跡隠蔽ではないです。

補足コラム

rootkitにはユーザランド(rootkitがユーザ空間で動作)とカーネルランド（カーネルモジュールとして動作）があります。カーネル型はより検出が難しく、ブートローダやファームウェアに潜むブートキットも存在します。検出にはOS整合性チェック（例: ファイルハッシュの比較）、プロセスリストのクロスチェック、メモリダンプ解析などが用いられます。代表的な検出ツールにはchkrootkit、rkhunter、AIDEなどがありますが、感染が疑われる場合はOS再インストールや信頼できる媒体からの復旧が推奨されます。

FAQ

Q: web beaconはマルウェアになり得ますか？
A: 通常は追跡・計測目的で、直接サーバ痕跡を隠蔽する機能はありませんが、悪用されればプライバシー侵害や情報漏洩に繋がります。

Q: rootkitはどうやって検出しますか？
A: ファイル整合性チェック、カーネルの不整合検出、メモリ解析、外部からのプロセス/ネットワーク監視のクロスチェックなど複数手法を組み合わせます。

Q: 感染が疑われるサーバはどう対応すべきですか？
A: まずネットワークから隔離し、メモリダンプやログの取得を行い、信頼できるバックアップから再構築するのが安全です。

関連キーワード: rootkit、バックドア、痕跡隠蔽、カーネルモジュール、検出ツール、インシデント対応、ログ改竄

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！