ファイナンス、情報通信技術のスキル・アグリゲーション・サイト

' . iseeit.jp 情報通信技術 . '

情報セキュリティ・キーワード 2016 ② 脅威と攻撃編

『情報セキュリティ10大脅威 2016』 https://www.ipa.go.jp/security/vuln/10threats2016.html が、2016年2月15日に発表されています。

「第1位 インターネットバンキングやクレジットカード情報の不正利用」は、再び被害が拡大しています。「ウイルスやフィッシング詐欺により、インターネットバンキングの認証情報やクレジットカード情報が窃取され、本人になりすまして不正利用されてしまう」ものです。

「第2位 標的型攻撃による情報流出」は、2015年6月の日本年金機構の情報漏えいなどのように、「外部からPCを遠隔操作して内部情報を窃取する」ものです。

「第3位 ランサムウェアを使った詐欺・恐喝」は、「ランサムウェアに感染するとPC内のファイルが暗号化され、暗号解除のための金銭を要求するメッセージが表示されるなど」もので、2015年に感染被害は急増しています。

ウェブサービスに関しては、「個人情報の窃取」、「不正ログイン」、「サイトの改ざん」のほか、「巧妙・悪質化するワンクリック請求」がランクされています。

そのほか、「内部不正による情報漏えい」、「審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ」は、被害の拡大防止に向けて対策が急がれます。

1.脅威

1-1.脅威とは

脅威 (threat)は、「システム又は組織に損害を与える可能性がある,望ましくないインシデントの潜在的な原因。」と定義されています(JIS Q 27000:2014)。

1-2.脅威の種類

物理的脅威(事故、災害、故障、停電、破壊、盗難、不正侵入、など)

技術的脅威(不正アクセス、盗聴、なりすまし、改ざん、エラー、クラッキング、など)

人的脅威(誤操作、持ち出し、紛失、破損、盗み見、不正利用、ソーシャルエンジニアリング、など)

1-3.脅威の分類

脅威の分類には、いくつかあります。

よく用いられる分類には、偶発的に発生する偶発的脅威と意図的に発生する意図的脅威、あるいは、人為的脅威と環境的脅威があります。

また、状態が変わらない受動的脅威と状態の変化や喪失などを伴う能動的脅威、すでに発生した顕在的脅威と発生しうる潜在的脅威という分類もあります。

そのほか、物理的脅威、技術的脅威という分類もあります。

これらは、組み合わせて用いられるほか、いくつかの分類にまたがる場合もあります。

2.ソーシャルエンジニアリング

2-1.ソーシャルエンジニアリングとは

ソーシャルエンジニアリングは、人間の心理・行動の隙や習性につけこみ、機密情報などを入手しようとするもの、あるいは、人の心理や行動を巧みに誘導して、機密情報などの入手へと仕向けるものてす。

2-2.なりすまし

特定の組織や個人に電話をかけ、ユーザ ID やパスワードを巧みに聞き出す行為です。上司になりすまして情報を詐取する手口(ネームドロップ)や、同僚や仲間を装う手口(フレンドシップ)のほか、SNS を用いた手口の事例も発生しています。

2-3.構内侵入・トラッシング・のぞき見

構内侵入 は、実際に建物内に侵入する行為です。建物内の企業への訪問者や建物内の清掃員を装って、あるいは、同伴者を装い一緒に構内へ侵入(ピギーバッキング)します。建物に侵入後、トラッシング・のぞき見、内部ネットワークへの不正侵入などで目的の情報を探ります。

トラッシング (Trashing)は、ゴミや廃棄物など、不要となったものの中から目的の情報を探し、取得します。スカベンジング(Scavenging)ともいいます。

のぞき見 は、机の上のメモ紙や、PC に貼付している付箋紙、PC に入力する際のキー操作や画面を盗み見て目的の情報を探ります。肩越しに盗み見る様子から ショルダハッキング とも呼ばれます。

2-4.Web Spoofing(偽 Web サイト)・フィッシング詐欺

フィッシング (phishing)は、偽メールを一斉送信して、金融機関や信販会社などの正式な Web サイトにそっくりの偽サイトへ誘導し、クレジットカード番号、ID、パスワードなどを盗み出す行為です。

スピアフィッシング (spear phishing)は、特定のターゲットに対し、ターゲットに応じて手法をカスタマイズして重要なデータを盗み出したり、企業ネットワークにアクセスしようとします。

ホエーリング (whaling)は、CEO(最高経営責任者)や CFO(最高財務責任者)などの経営層になりすまし、幹部社員などに対して巧妙な偽メールを送り、送金の要求や機密情報の漏えいを促します。

ビッシング (vishing)は、金融機関などをかたる偽メールを不特定多数の送信し、メール中の電話番号に連絡して手続きをしないと、口座を閉鎖するなどと脅かすものです。電話の通話先は自動応答のメッセージで、口座情報やパスワードなどを入力させようとします。ボイスフィッシング(voice phishing)とも呼ばれます。

ファックシング (fax phishing, phaxing)は、偽メールで銀行口座や他の情報を記入したフォームをファックスで返信するよう、受信者に促します。

スミッシング (SMiShing)は、携帯電話のショート・メッセージ・サービス(SMS)で偽メッセージを送信して、直接返信させたり、フィッシングサイトへ誘導します。

2-5.電話攻撃・デマメール攻撃・標的型攻撃

電話攻撃 (Call Attack)は、電話を使用してユーザのパスワードを聞き出そうとします。同一組織内の別部門の人間と偽るなどします。

デマメール攻撃 は、知名度の高い企業のアンケートなどと偽って、クレジットカード番号などの項目を含めて返信を求めるメールを送信します。また、実在しないデマウイルスの情報をメール送信して、受信者にウイルスではない重要なシステムファイルを削除させるなどします。

標的型攻撃 (Targeted Attack)は、特定の組織や個人の機密情報に目的を絞り、綿密に調査して攻撃を仕掛けます。

水飲み場型攻撃 (Watering Hole Attack)は、攻撃対象の組織や個人がよく利用する Web サイトを不正に改ざんし、不正なコードを仕掛け、マルウェアに感染させます。

APT (Advanced Persistent Threat、高度で継続的な脅威)攻撃は、ターゲットを絞って長期間に及ぶ執拗な標的型攻撃を行います。

3.不正行為

3-1.スキミング

スキミング (Skimming)は、クレジットカードやキャッシュカードからスキマーという装置で情報を読み取り、偽造カードを作成し、不正利用する犯罪です。ATM 装置にスキマーを巧妙に取り付け、隠しカメラで暗証番号の入力操作を盗み見る手口が公開されています。

3-2.内部不正

組織の内部関係者の不正行為による情報漏えいなどは、内部不正とも呼ばれます。

3-3.不正のトライアングル

不正行為は、動機、機会、正当化の3つの条件がそろった時に発生すると言われています。ドナルド・R・クレッシーの 不正のトライアングル (Fraud Triangle)理論です。

  • 「動機・プレッシャー」:プレッシャー(業務量、ノルマ等)や処遇への不満など、不正行為に至るきっかけ。
  • 「機会」:技術(IT システム・ネットワーク)や物理的な環境及び組織のルールなど、不正行為の実行を可能、または容易にする環境のこと。
  • 「正当化」:良心の呵責を乗り越える都合のよい解釈や、他人への責任転嫁など、不正行為を自ら納得させるための自分勝手な理由付け。

4.攻撃

4-1.攻撃とは

攻撃 (attack)は、「資産の破壊,暴露,改ざん,無効化,盗用,又は認可されていないアクセス若しくは使用の試み。」と定義されています(JIS Q 27000:2014)。

サイバー攻撃 は、コンピュータシステムやネットワークに不正に侵入して、コンピュータに保存しているデータの取得、破壊や改ざんを行うことです。

4-2.攻撃者の種類

クラッカー(Cracker)は、コンピュータ技術などを悪用して侵入や攻撃等の不正行為を行う者です。スクリプトキディ(Script Kiddies)は、インターネットに公開されている侵入ツールなどを用いて興味本位で不正アクセスを行う者です。ボットハーダー(Bot Herder)は、ボットネットを統制してサイバー犯罪に利用する者です。ハクティビズム(Hacktivism)は、政治的な意思表示行為の手段に攻撃を用います。

サイバーテロリズム(Cyber Terrorism)は、おもに社会的・政治的理由に基づき攻撃を仕掛けるほか、愉快犯のように無差別に攻撃を仕掛けるタイプ、金銭奪取を目的に攻撃する詐欺犯、組織の内部関係者がその組織への攻撃者となる場合もあります。

4-3.攻撃(侵入)

パスワードクラック (password crack)は、コンピュータ・システムなどの利用者認証に用いられるパスワードを探り当てることです。

ブルートフォース攻撃

すべての組み合わせを試す攻撃手法。

辞書攻撃

よく知られている初期パスワードや、辞書にあるような単語を利用した攻撃手法。

類推攻撃

ターゲットに関連する情報からパスワードを類推する攻撃手法。

パスワードリスト攻撃

漏えいした ID、パスワードリストを利用する攻撃手法。パスワードの使い回しをしているユーザーが標的となる。

リバースブルートフォース攻撃

パスワードを固定し、IDを変更していく攻撃手法。

レインボークラック

平文パスワードとハッシュ値のセットが登録された特殊なテーブルを利用し、ハッシュ値からパスワードを逆引きする攻撃手法。

サイドチャネル攻撃 (Side Channel Attack)は、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部の情報を取得しようとする攻撃方法です。

タイミング攻撃

処理時間を測定分析する。

電力解析攻撃

消費電力を測定分析する。

電磁波解析攻撃

放射される漏洩電磁波を測定分析する。テンペスト攻撃。

音響解析攻撃

発生しているノイズを測定分析する。

スプーフィング (Spoofing)は、ターゲットのネットワークシステム上のホストになりすまして接続する手法です。

IP スプーフィング
(IP Spoofing)

送信者の IP アドレスを詐称してなりすましを行います。

ARP スプーフィング
(ARP Spoofing)

ARP プロトコルの応答を偽装してなりすましを行ないます。

ICMP スプーフィング
(ICMP Spoofing)

ping の ICMP ECHO パケットの送信元 IP アドレスを攻撃対象ホストの IP アドレスに書き換えます。ping スィープの ICMP ECHO_REPLY パケットが攻撃対象ホストに集中させます。

DNS スプーフィング
(DNS Spoofing)

DNS のホスト名と IP アドレスの対応テーブルを書き換えてなりすましを行います。

中間者攻撃 (Man-in-the-Middle Attack)は、通信接続している二者の間に、気づかれないように割り込んで盗聴したり、一方あるいは双方になりすまして、通信を不正に制御します。

リプレイ攻撃 (Replay Attack)は、利用者のログイン認証の通信内容を盗聴して記憶し、内容をそのまま再送信してなりすまします。

DNS キャッシュポイズニング (DNS Cache Poisoning)は、DNS のキャッシュの仕組みにおいて、アドレス情報を書き換えて、なりすましを行います。

ファーミング (Pharming)は、DNS 内部のアドレス情報を書き換えたり、偽の DNS へ誘導した後、正規の Web サイトの閲覧者を偽のサイトへ誘導し、偽ページから不正に個人情報を取得します。

DNSamp (DNS Amplification Attack)は、DNS キャッシュサーバーにサイズの大きい TXT レコードをキャッシュさせて、対象ホストの IP アドレスになりすまして DNS 問合せを一斉に送信し、その再帰的問合せ機能を踏み台にし、大量の DNS パケットを対象ホストへ送信させて、負荷をかけるものです。

4-4.攻撃(妨害)

DoS 攻撃 (Denial of Service Attack)は、コンピュータシステムやネットワークのサービス提供を妨害する攻撃です。

DDoS 攻撃 (Distributed Denial of Service Attack)は、 複数の第三者のコンピュータに攻撃プログラムを仕掛けて踏み台とし、対象のコンピュータシステムやネットワークへ同時にサービス妨害する攻撃です。

SYN フラッド攻撃(SYN Flood Attack)は、ネットワークに接続されたコンピュータに過剰な負荷をかけ、サービスの提供を妨害する攻撃です。TCP コネクションの確立における three-way handshake の仕組みで、攻撃者は SYN パケットを対象ホストへ送信し、SYN/ACK パケットを返信させ、次の ACK パケットを送信せずにハーフオープンの状態のままにして対象ホストに負荷をかけます。

Smurf 攻撃(Smurf Attack)は、ネットワークの帯域を膨大な数のパケットで圧迫して、輻輳状態に陥らせる攻撃です。攻撃者は、膨大な ping の ICMP Echo Request パケットを、対象ホストの IP アドレスを送信元に書き換えて、ブロードキャストアドレスに送信します。さらに膨大な ICMP Echo Reply パケットの返信を、ネットワーク上のホストから対象ホストに集中させて、対象ホストのネットワークに負荷をかけます。

Ping of Death は、ping の ICMP Echo パケットを巨大なサイズのパケットにして対象ホストに送信し、対象ホストのサービスをダウンさせます。teardrop は、分割された IP パケットの復元に用いられるオフセット値を書き換えて対象ホストに送信し、対象ホストのサービスをダウンさせます。

4-5.インジェクション攻撃

クロスサイトスクリプティング (Cross Site Scripting:CSS, XSS)は、Web ページの入力フィールドやリクエストのパラメータなどから動的に生成されるページに対して、HTML や JavaScript から生成される部分で動作する悪意のあるコードを埋め込み、そのページの閲覧者を偽のサイトへ誘導したり、情報を抜き取ったり、偽のリクエストを送信させたりします。

セッションハイジャック (Session Hijacking)は、利用者のセッション ID や cookie 情報を抜き取るスクリプトを埋め込むなどして、その利用者になりすまします。

クロスサイトリクエストフォージェリ (Cross Site Request Forgery:CSRF, XSRF)は、対象の Web サイトの利用者や、全く関係のない第三者を、偽サイトへ誘導したり、悪意のあるスクリプトを実行させるなどして、その利用者や第三者の意志に反したリクエストを勝手に偽造して、対象の Web サイトへ送信します。

SQL インジェクション (SQL Injection)は、データベースに接続している Web ページの入力フィールドやリクエスト等に、SQL 文やその一部を入力や埋め込むなどして、不正にデータベースを操作してデータの閲覧や、消去、改ざんをします。

ディレクトリトラバーサル (Directory Traversal)は、Web サイトが公開しているディレクトリから、非公開のディレクトリやファイルを不正にアクセスします。

4-6.攻撃(悪意あるプログラム)

マルウェア (Malware)は、不正に動作させる意図で作成された悪意のあるソフトウェアやプログラムコードの総称です。

クライムウェア (Crimeware)は、マルウェアのうち、特に犯罪行為を目的として作成されたプログラムの総称です。

スケアウェア (Scareware)は、マルウェアのうち、特にユーザの恐怖心を煽ることによって、金銭を支払わせたり個人情報を盗んだりしようとするものです。

ランサムウェア (Ransomware)は 、ユーザのデータを暗号化するなどして人質にし、その解除と引き替えに身代金を要求します。

スパイウェア (Spyware)は、ユーザーに気付かれることなくコンピューターにインストールされ、コンピューターの構成を変更したり、個人情報を収集する目的のものてす。

コンピュータウイルス (computer virus)は、他のプログラムに構成に入り込んで、そのプログラムの動作を妨害したり、ユーザの意図に反して不正に動作するプログラムです。

マクロウイルス (Macro Virus)は、 ワープロ・表計算・データベースソフトのようなアプリケーションに用意されているマクロ機能を使用するコンピュータウイルスです。

スクリプトウイルス (Script Virus)は、スクリプト言語で記述されたコンピュータウイルスです。

ワーム (worm)は、独立したプログラムで、他のプログラムの動作を妨害したり、ユーザの意図に反して不正に動作するプログラムてす。自らの機能によって感染を広げます。

トロイの木馬 (Trojan horse)は、一見、有益なプログラムに偽装して、その内部にユーザの意図に反して不正に動作するプログラムが隠され、インストールしたコンピュータに潜伏します。通常、トロイの木馬は自ら感染を広げません。ウイルス、ワーム、またはダウンロードされたソフトウェアにより感染を広げます。

バックドア (Backdoor)は、トロイの木馬の一種で、ネットワークを介してユーザのコンピュータを操ったり、パスワードなど重要な情報を盗んだりします。

ボット (Bot)は、コンピュータを外部から遠隔操作するためのバックドアの一種です。ボットの特徴は、 ボットネット (Botnet)を構成して、攻撃者が一括して複数のボットを遠隔操作できる仕組みにあります。 C&C サーバ (Command and Control server)は、遠隔操作のために指令を送るサーバのことです。

キーロガー (Keylogger)は、コンピュータのキーボードの入力情報を傍受し、記録します。

アドウェア  (Adware)は、広告や宣伝を目的としたプログラムです。ユーザの意図に反してインストールされたり、コンピュータの正常な動作を妨害したり、ユーザに告知せずに個人情報を収集するものなどもあります。

ルートキット (Rootkit)は、対象の コンピュータに感染し、攻撃者がそのコンピュータへ継続的にリモートアクセスするためのツール一式をインストールするものです。通常、ルートキットはオペレーティングシステムに潜伏し、ユーザにもセキュリティツールにも察知されないように設計されています。

MITB (Man in the Browser Attack)は、 Web ブラウザの通信を盗聴、改ざんする攻撃です。ユーザが、インターネットバンキングにログインした後の通信を乗っ取り、ユーザの預金を盗み取るなどします。

ドライブバイダウンロード (Drive-by Download Attack)とは、Web ブラウザなどを介して、ユーザに気付かれないようにソフトウェアなどをダウンロードさせることです。

ゼロデイアタック (Zero-day Attack )は、ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、その発見から公表、そして修正プログラムが提供されるまでの間にその脆弱性を攻撃することです。

エクスプロイトキット (Exploit Kit )は、複数のエクスプロイトコード(セキュリティ上の脆弱性を攻撃するためのプログラムのこと)をパッケージ化して、様々な脆弱性攻撃を実行できるようにしたものです。

5.情報処理技術試験の過去問題

試験問題の全文は、https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html をご覧ください。


平成27年度秋期SC試験午前Ⅱ問題
問 5 ポリモーフィック型ウイルスの説明として, 適切なものはどれか。

  • ア インターネッ卜を介して, 攻撃者が PC を遠隔操作する。
  • イ 感染するごとにウイルスのコードを異なる鍵で暗号化し, コード自身を変化させることによって, 同一のパターンで検知されないようにする。
  • ウ 複数の OS で利用できるブログラム言語でウイルスを作成することによって, 複数の OS 上でウイルスが動作する。
  • エ ルートキットを利用してウイルスに感染していないように見せかけることによって, ウイルスを隠蔽する。

正解 イ


平成27年度秋期SC試験午前Ⅱ問題
問 8 水飲み場型攻撃 (Watering Hole Attack) の手口はどれか。

  • ア アイコンを文書ファイルのものに偽装した上で, 短いスクリプトを埋め込んだショートカットファイル (LNK ファイル) を電子メールに添付して標的組織の従 業員に送信する。
  • イ 事務連絡などのやり取りを行うことで, 標的組織の従業員の気を緩めさせ, 信用させた後, 攻撃コードを含む実行ファイルを電子メールに添付して送信する。
  • ウ 標的組織の従業員が頻繁にアクセスする Web サイトに攻撃コードを埋め込み, 標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
  • エ ミニブログのメッセージにおいて, ドメイン名を短縮してリンク先の URL を分かりにくくすることによって, 攻撃コ一ドを埋め込んだ Web サイトに標的組織の従業員を誘導する。

正解 ウ


平成27年度秋期SC試験午前Ⅱ問題
問 9 不正が発生する際には “不正のトライアングル" の 3 要素全てが存在すると考えられている。 “不正のトライアングル” の構成要素の説明のうち, 適切なものはどれか。

  • ア “機会” とは, 情報システムなどの技術や物理的な環境及び組織のルールなど, 内部者による不正行為の実行を可能, 又は容易にする環境の存在である。
  • イ “情報と伝達” とは, 必要な情報が識別' 把握及び処理され, 組織内外及び関係者相互に正しく伝えられるようにすることである。
  • ウ “正当化” とは, ノルマによるプレッシャーなどのことである。
  • エ “動機” とは, 良心のかしゃくを乗り越える都合の良い解釈や他人ヘの責任転嫁など, 内部者が不正行為を自ら納得させるための自分勝手な理由付けである。

正解 ア


平成24年度秋期SC試験午前Ⅱ問題 問10
平成26年度春期SC試験午前Ⅱ問題 問 8
平成27年度秋期SC試験午前Ⅱ問題
問10 ICMP Flood 攻撃に該当するものはどれか。

  • ア HTTP GET コマンドを繰り返し送ることによって, 攻撃対象のサーバにコンテンツ送信の負荷を掛ける。
  • イ ping コマンドを用いて大量の要求パケットを発信することによって, 攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
  • ウ コネクション開姶要求に当たる SYN パケットを大量に送ることによって, 攻撃対象のサーバに, 接続要求ごとに応答を返すための過大な負荷を掛ける。
  • エ 大量の TCP コネクションを確立することによって, 攻撃対象のサーバに接続を維持させ続けてリソースを枯渇させる。

正解 イ


平成23年度秋期SC試験午前Ⅱ問題 問11
平成26年度春期SC試験午前Ⅱ問題 問11
平成27年度秋期SC試験午前Ⅱ問題
問14 テンペスト (TEMPEST) 攻撃を説明したものはどれか。

  • ア 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • イ 処理時間の差異を計測し解析する。
  • ウ 処理中に機器から放射される電磁波を測し解析する。
  • エ チップ内の信号線などに探針を直接当て, 処理中のデータを観測し解析する。

正解 ウ


平成23年度特別共通試験午前Ⅰ問題 問14
平成24年度秋期SC試験午前Ⅱ問題 問13
平成27年度秋期共通試験午前Ⅰ問題
問13 ゼロデイ攻撃の特徴はどれか。

  • ア セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。
  • イ 特定の Web サイトに対し, 日時を決めて, 複数台の PC から同時に攻撃する。
  • ウ 特定のターゲットに対 し, フィッシングメールを送信して不正サイ トヘ誘導する。
  • エ 不正中継が可能なメールサーパを見つけた後, それを踏み台にチェーンメールを大量に送信する。

正解 ア


平成21年度秋期SC試験午前Ⅱ問題 問12
平成27年度秋期共通試験午前Ⅰ問題
問14 ブルートフォース攻撃に該当するものはどれか。

  • ア Web プラウザと Web サーバの間の通信で, 認証が成功してセッションが開始されているときに, Cookie などのセッション情報を盗む。
  • イ 可能性がある文字のあらゆる組合せのパスワードでログインを試みる。
  • ウ コンビュータヘのキー入力を全て記録して外部に送信する。
  • エ 盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。

正解 イ


平成25年度秋期SC試験午前Ⅱ問題 問 1
平成27年度春期SC試験午前Ⅱ問題
問 3 RLO (Right-to-Left 0verride) を利用した手ロの説明はどれか。

  • ア “コンビュータウイルスに感染している” といった偽の警告を出して利用者を脅し, ウイルス対策ソフトの購入などを迫る。
  • イ 脆弱性があるホストやシステムをあえて公開し, 攻撃の内容を観察する。
  • ウ ネットワーク機器の MIB 情報のうち監視項目の値の変化を感知し, セキュリティに関するイベントを SNMP マネージャに通知するように動作させる。
  • エ 文宇の表示順を変える制御文字を利用し, ファイル名の拡張子を偽装する。

正解 エ


平成25年度春期SC試験午前Ⅱ問題 問 5
平成27年度春期SC試験午前Ⅱ問題
問 5 サイドチャネル攻撃の説明はどれか。

  • ア 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量 (処理時間や消費電流など) やエラーメッセージから, 攻撃対象の機密情報を得る。
  • イ 企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり, 不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミの中から探し出す。
  • ウ 通信を行う 2 者間に割り込んで, 両者が交換する情報を自分のものとすり替えることによって, 気付かれることなく盗聴する。
  • エ データべースを利用する Web サイトに入力パラメタとして SQL 文の断片を与えることによって, データべースを改ざんする。

正解 ア


平成21年度春期SC試験午前Ⅱ問題 問12
平成23年度秋期SC試験午前Ⅱ問題 問13
平成25年度秋期SC試験午前Ⅱ問題 問11
平成27年度春期SC試験午前Ⅱ問題
問12 rootkit に含まれる機能はどれか。

  • ア OS の中核であるカーネル部分の脆弱性を分析する。
  • イ コンピュータがウイルスやワームに感染していないことをチェックする。
  • ウ コンピュータやルータのアクセス可能な通信ポートを外部から調査する。
  • エ 不正侵入して OS などに組み込んだものを隠蔽する。

正解 エ


平成25年度秋期SC試験午前Ⅱ問題 問16
平成27年度春期共通試験午前Ⅰ問題
問15 ディレクトリトラバーサル攻撃はどれか。

  • ア OS の操作コマンドを利用するアプリケーションに対して, 攻撃者が, OS のディレクトリ作成コマンドを渡して実行する。
  • イ SQL 文のリテラル部分の生成処理に問題があるアプリケーションに対して, 攻撃者が, 任意の SQL 文を渡して実行する。
  • ウ シングルサインオンを提供するディレクトリサービスに対して, 攻撃者が, 不正に入手した認証情報を用いてログインし, 複数のアプリケーションを不正使用する。
  • エ 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して, 攻撃者が, 上位のディレクトリを意味する文字列を入力して, 非公開のファイルにアクセスする。

正解 エ


平成23年度秋期SC試験午前Ⅱ問題 問 9
平成25年度春期SC試験午前Ⅱ問題 問14
平成26年度秋期SC試験午前Ⅱ問題
問12 DoS 攻撃の一つであるSmurf 攻撃の特徴はどれか。

  • ア ICMP の応答バケットを大量に送り付ける。
  • イ TCP 接続要求である SYN パケットを大量に送り付ける。
  • ウ サイズが大きい UDP パケットを大量に送り付ける。
  • エ サイズが大きい電子メールや大量の電子メールを送り付ける。

正解 ア


平成26年度秋期SC試験午前Ⅱ問題
問13 サイドチャネル攻撃を説明したものはどれか。

  • ア 暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって, 当該装置内部の機密情報を推定する攻撃
  • イ 攻撃者が任意に選択した平文とその平文に対応した暗号文から数学的手法を用いて暗号鍵を推測し, 同じ暗号鍵を用いて作成された暗号文を解読する攻撃
  • ウ 操作中の人の横から, 入力操作の内容を察することによって, ID とパスワードを盗み取る攻撃
  • エ 無線 LAN のアクセスボイントを不正に設置し, チャネル間の千渉を発生させることによって, 通信を妨害する攻撃

正解 ア


平成25年度春期SC試験午前Ⅱ問題 問12
平成26年度秋期共通試験午前Ⅰ問題
問13 企業の DMZ 上で 1 台の DNS サーバを, インターネット公開用と, 社内の PC, サーバからの名前解決の問合せに対応する社内用とで共用している。この DNS サーバが, DNS キャッシュポイズ二ングの被害を受けた結果, 直接引き起こされ得る現象はどれか。

  • ア DNS サーバのハードディスク上に定義されている DNS サーバ名が書き換わり, 外部からの参照者が, DNS サーバに接続できなくなる。
  • イ DNS サーバのメモリ上にワームが常駐し, DNS 参照元に対して不正プログラムを送り込む。
  • ウ 社内の利用者が, インターネット上の特定の Web サーバを参照する場合に, 本来とは異なる Web サーバに誘導される。
  • エ 社内の利用者間の電子メールについて, 宛先メールアドレスが書き換えられ, 送受信ができなくなる。

正解 ウ


平成26年度春期SC試験午前Ⅱ問題
問 3 クラウドサービスにおける, 従量課金を利用した EDoS (Economic Denial of Service, EconomicDenialofSustainability) 攻撃の説明はどれか。

  • ア カード情報の取得を目的に, 金融機関が利用しているクラウドサービスに侵入する攻撃
  • イ 課金回避を目的に, 同じハードウェア上に構築された別の仮想マシンに侵入し, 課金機能を利用不可にする攻撃
  • ウ クラウド利用企業の経済的な損失を目的に, リソースを大消費させる攻撃
  • エ パスワード解析を目的に, クラウド環境のリソースを悪用する攻撃

正解 ウ


平成24年度秋期SC試験午前Ⅱ問題 問 7
平成26年度春期SC試験午前Ⅱ問題
問 7 ポリモーフィック型ウイルスの説明として, 適切なものはどれか。

  • ア インターネットを介して, 攻撃者が PC を遠隔操作する。
  • イ 感染するごとにウイルスのコードを異なる鍵で暗号化し, ウイルス自身を変化させて同一のパターンで検知されないようにする。
  • ウ 複数の OS で利用できるプロダラム言語でウイルスを作成することによって, 複数の OS 上でウイルスが動作する。
  • エ ルートキットを利用してウイルスに感染していなきように見せかけることによって, ウイルスを隠蔽する。

正解 イ


平成23年度秋期SC試験午前Ⅱ問題 問16
平成26年度春期SC試験午前Ⅱ問題
問15 Web アプリケーションの脆弱性を悪用する攻撃手法のうち, Perl の system 関数や PHP の exec 関数など外部プログラムの呼出しを可能にするための関数を利用し, 不正にシェルスクリプトや実行形式のファイルを実行させるものは, どれに分類されるか。

  • ア HTTP ヘッダインジェクション
  • イ OS コマンドインジェクション
  • ウ クロスサイトリクエストフォージェリ
  • エ セッションハイジャック

正解 イ


平成24年度秋期SC試験午前Ⅱ問題 問16
平成26年度春期SC試験午前Ⅱ問題
問17 SSLに対するバージョンロールバック攻撃の説明はどれか。

  • ア SSL の実装の脆弱性を用いて, 通信経路に介在する攻撃者が, 弱い暗号化通信方式を強制することによって, 暗号化通信の内容を解読して情報を得る。
  • イ SSL のハンドシェイクプロトコルの終了前で, 使用暗号化アルゴリズムの変更メッセージを, 通信経路に介在する攻撃者が削除することによって, 通信者が暗号化なしでセッションを開始し, 攻撃者がセッションの全通信を盗聴したり改ざんしたりする。
  • ウ SSL を実装した環境において, 攻撃者が物理デバイスから得られた消費電流の情報などを利用して秘密情報を得る。
  • エ 保守作業のミスや誤操作のときに回復できるようにバックアップした SSL の旧バージョンのライブラリを, 攻撃者が外部から破壊する。

正解 ア


平成25年度秋期SC試験午前Ⅱ問題
問 9 共通鍵暗号の鍵を見つけ出す, ブルートフォース攻撃に該当するものはどれか。

  • ア 1 組の平文と暗号文が与えられたとき, 全ての鍵候補を一つずつ試して鍵を見つけ出す。
  • イ 平文と暗号文と鍵の関係を代数式に表して数学的に鍵を見つけ出す。
  • ウ 平文の一部分の情報と暗号文の一部分の情報との間の統計的相関を手掛かりに鍵を見つけ出す。
  • エ 平文を一定変化させたときの暗号文の変化から鍵を見つけ出す。

正解 ア


平成25年度秋期共通試験午前Ⅰ問題
問15 クロスサイトスクリプティングの手ロはどれか。

  • ア Web アプリケーションに用意された入力フィールドに, 悪意のある JavaScript コードを含んだデータを入力する。
  • イ インターネットなどのネッ卜ワークを通じてサーバに不正にアクセスしたり, データの改ざん・破壊を行ったりする。
  • ウ 大量のデータを Web アプリケーションに送ることによって, 用意されたバッファ領域をあふれさせる。
  • エ パス名を推定することによって, 本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

正解 ア


平成25年度春期SC試験午前Ⅱ問題
問 1 APT (Advanced Persistent Threats) の説明はどれか。

  • ア 攻撃者は DoS 攻撃及ぴ DDoS 攻撃を繰り返し組み合わせて, 長期間にわたって特定組織の業務を妨害する。
  • イ 攻撃者は興味本位で場当たり的に, 公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
  • ウ 攻撃者は特定の目的をもち, 特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗に攻撃を繰り返す。
  • エ 攻撃者は不特定多数ヘの感染を目的として, 複数の攻撃方法を組み合わせたマルウェアを継続的にばらまく。

正解 ウ


平成25年度春期共通試験午前Ⅰ問題
問14 ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。

  • ア 件名に “未承諾広告※" と記述されている。
  • イ 件名や本文に, 受信者の業務に関係がありそうな内容が記述されている。
  • ウ 支払う必要がない料金を振り込ませるために, 債権回収会社などを装い無差別に送信される。
  • エ 偽のホームベージにアクセスさせるために, 金融機関などを装い無差別に送信される。

正解 イ


平成24年度秋期SC試験午前Ⅱ問題
問 3 SEO (Search Engine Optimization) ポイズニングの説明はどれか。

  • ア Web 検索サイトの順位付けアルゴリズムを悪用して, キーワー ドで検索した結果の上位に, 悪意のあるサイトを意図的に表示させる。
  • イ ウイルス検索エンジンのセキュリティ上の脆弱性を悪用して, システム権限で不正な処理を実行させる。
  • ウ 車などで移動しながら, 無線 LAN のアクセスポイ ントを探し出して, ネットワークに不正侵入する。
  • エ ネットワークを流れるパケットから, 不正侵入のパターンに合致するものを検出して, 管理者への通知や, 検出した内容の記録を行う。

正解 ア


平成24年度春期SC試験午前Ⅱ問題
問 1 クリックジャッキング攻撃に該当するものはどれか。

  • ア Web アブリケーションの脆弱性を悪用し, Web サーバに不正なリクエストを送って Web サーバからのレスポンスを二つに分割させることによって, 利用者のブラウザのキャッシュを偽造する。
  • イ Web ページのコンテンツ上に透明化した標的サイ トのコンテンツを配し, 利用者が気づかないうちに標的サイト上で不正操作を実行させる。
  • ウ ブラウザのタブ表示機能を利用し, ブラウザの非活性なタブの中身を, 利用者が気づかないうちに偽ログインページに書き換えて, それを操作させる。
  • エ 利用者のブラウザの設定を変更することによって, 利用者の Web ページの閲覧履歴やパスワードなどの機密情報を盗み出す。

正解 イ


平成23年度秋期SC試験午前Ⅱ問題
問 7 IP アドレスに対する MAC アドレスの不正な対応関係を作り出す攻撃はどれか。

  • ア ARP スプーフィング攻撃
  • イ DNS キャッシュポイズニング攻撃
  • ウ URL エンコーディング攻撃
  • エ バッファオーバフロー攻撃

正解 ア


平成23年度秋期SC試験午前Ⅱ問題
問10 表に示すテーブル X, Y ヘのアクセス要件に関して, JIS Q 27001:2006 (ISO/IEC 27001:2005) が示す “完全性" の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。

テーブルアクセス要件
X (注文テーブル) ① 調達課の利用者 A が注文データを入力するため X (注文テーブル) に, 又は内容を確認するためにアクセスする。
② 管理課の利用者 B はアクセスしない。
Y (仕入先マス夕テーブル) ① 調達課の利用者 A が仕入先データを照会する目的だけでアクセスする。
② 管理課の利用者 B が仕入先データのマスタメンテ ナンス作業を行うためにアクセスする。
  • ア GRANT INSERT ON Y TO A
  • イ GRANT INSERT ON Y TO B
  • ウ GRANT SELECT ON X TO A
  • エ GRANT SELECT ON X TO B

正解 ア


平成23年度特別共通試験午前Ⅰ問題
問13 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は, どれに分類されるか。

  • ア ソーシャルエンジニアリング
  • イ トロイの木馬
  • ウ パスワードクラック
  • エ 踏み台攻撃

正解 ア


平成22年度春期SC試験午前Ⅱ問題
問 9 ワームの侵入に関する記述のうち, 適切なものはどれか。

  • ア 公開サーバヘのワームの侵入は, IDS では検知できない。
  • イ 未知のワームの侵入は, パターンマッチング方式で検知できる。
  • ウ ワームは, アプリケーションソフトの脆弱性を突いて侵入できる。
  • エ ワームは, 仮想 OS 環境内のゲスト OS に侵入できない。

正解 ウ


平成22年度春期SC試験午前Ⅱ問題
問13 ディジタル証明書を使わずに, 通信者同士が, 通信によって交換する公開鍵を用いて行う暗号化通信において, 通信内容を横取りする目的で当事者になりすますものはどれか。

  • ア Man-in-the-middle 攻撃
  • イ war driving
  • ウ トロイの木馬
  • エ ブルートフォース攻撃

正解 ア


平成22年度春期共通試験午前Ⅰ問題
問15 SQL インジェクションの説明はどれか〟

  • ア Web アプリケーションに悪意のある入力データを与えてテータべースの問合せや操作を行う命令文を組み立てて, データを改ざんしたり不正に情報取得したりする攻撃
  • イ 悪意のあるスクリプトが埋め込まれた Web ページを訪問者に閲覧させて, 別の Web サイトで, その訪問者が意図しない操作を行わせる攻撃
  • ウ 市販されているデータべース管理システムの脆弱性を利用して, 宿主となるデータベースサーバを探して自己伝染を繰り返し, インターネットのトラフィックを急増させる攻撃
  • エ 訪問者の入力データをそのまま画面に表示する Web サイトに対して, 悪意のあるスクリプトを埋め込んだ入力データを送り, 訪問者のブラウザで実行させる攻撃

正解 ア


平成21年度秋期SC試験午前Ⅱ問題
問 5 企業の DMZ 上で 1 台の DNS サーバをインターネット公開用と社内用で共用している。この DNS サーバが, DNS キャッシュポイズニングの被害を受けた結果, 引き起こされ得る現象はどれか。

  • ア DNS サーバで設定された自社の公開 Web サ一バの FQDN 情報が書き換えられ, 外部からの参照者が, 本来とは異なる Web サーバに誘導される。
  • イ DNS サーバのメモリ上にワ一ムが常駐し, DNS 参照元に対して不正プログラムを送り込む。
  • ウ 社内の利用者が, イン夕ーネット上の特定の Web サ一バを参照する場合に, 本来とは異なる Web サーバに誘導される。
  • エ 電子メールの不正中継対策をした自社のメ一ルサーバが, 不正中継の踏み台にされる。

正解 ウ


平成21年度秋期共通試験午前Ⅰ問題
問15 企業内情報ネットワークやサーパにおいて, 通常のアクセス経路以外で, 侵入者が不正な行為に利用するために設するものはどれか。

  • ア VoIP ゲー卜ウェイ
  • イ ストリクトルーティング
  • ウ バックドア
  • エ フォレンジック

正解 ウ


平成21年度春期SC試験午前Ⅱ問題
問 1 DNS キャッシュポイズニングに分類される攻撃内容はどれか。

  • ア DNS サーバのソフトウェアのバージョン情報を入手して, DNS サーバのセキュリティホールを特定する。
  • イ PC が参照する DNS サ一バに誤ったドメイン管理情報を注入して, 偽装された Web サーバに PC の利用者を誘導する。
  • ウ 攻撃対象のサ一ビスを妨害するために, 攻撃者が DNS サーバを踏み台に利用して再帰的な問合せを大量に行う。
  • エ 内部情報を入手するために, DNS サーバが保存するゾーン情報をまとめて転送させる。

正解 イ

②脅威と攻撃編を公開しました。

《アーカイブ》 情報セキュリティ試験直前対策メモ2006

第1回 無線LAN編

第2回 VPN編

第3回 暗号化編

(≪補足≫ 暗号・復号の基本フロー

第4回 認証編

第5回 PKI編

第6回 セキュリティプロトコル編

第7回 サーバセキュリティ編

第8回 脅威の実態編

第9回 アクセス監視編

最終回 規格編