ITパスポート/スキマ時間にちょっと確認2~セキュリティ

ITパスポートすきま問題2テクノロジ系セキュリティ分野別問題集
スポンサーリンク

攻撃の名称と方法を覚えられる問題です。

スポンサーリンク

(1) 令和2年 問60

暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を、他人のコンビュータを使って気付かれないように行うことを何と呼ぶか。

ア クリプトジャッキング
イ ソーシャルエンジニアリング
ウ バッファオーバフロー
エ フィッシング
 

解説

イ ソーシャルエンジニアリング: 
例 社員を装った電話を社外からかけて、社内の機密情報を聞き出す。(なりすまし)
(ITパスポート 平成28年春 問86より)

ウ バッファオーバフロー:
プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで、定外の動作をさせる。
(ITパスポート 平成26年秋 問59より)

エ フィッシング:
金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得すること
(ITパスポート 平成28年春 問63より)

よって、正解は ア です。

(2) 令和3年 問56

インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって、利用者を偽のサイトへ誘導する攻撃はどれか。

ア DDoS攻撃
イ DNSキャッシュポイズニング
ウ SQLインジェクション
エ フィッシング
 

解説

ア DDoS攻撃:
インターネット上の多数の機器から特定のネットワーク、サーバに一斉にパケットを送り、過剰に負荷をかけて機能不全にする攻撃

イ DNSキャッシュポイズニング:
PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する。
(情報セキュリティ H29年秋午前 問22より)

ウ SQLインジェクション:
Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得、改ざん及び削除をする攻撃
(基本情報 平成28年春午前 問37より)

エ フィッシング:
金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得すること
(ITパスポート 平成28年春 問63より)

よって、正解は イ です。

(3) 令和3年 問65

シャドーITの例として、適切なものはどれか。

ア 会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
イ 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。
ウ 他の社員にPCの画面をのぞかれないように、離席する際にスクリーンロックを行った。
エ データ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
 

解説

シャドーITは、IT部門の許可を得ずに、従業員又は部門が業務に利用しているデバイスやクラウドサービスです。
(情報セキュリティ 平成29年秋午前 問16より)

よって、正解は エ です。

(4) 令和3年 問94

特定のPCから重要情報を不正に入手するといった標的型攻撃に利用され、攻撃対象のPCに対して遠隔から操作を行って,ファイルの送受信やコマンドなどを実行させるものはどれか。

ア RAT
イ VPN
ウ デバイスドライバ
エ ランサムウェア
 

解説

ア RAT(Remote Access Tool)
リモートでシステムにアクセスして操作することを可能にするソフトウェアの総称
多くの場合、トロイの木馬型(バックドア型)マルウェア 注)を指す。

イ VPN(Virtual Private Network)
公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワーク
(ITパスポート 平成29年秋 問85より)

ウ デバイスドライバ:
PCに接続されている周辺機器を制御、操作するためのソフトウェア
(ITパスポート 平成30年春 問83より)

エ ランサムウェア:
PC内のファイルを暗号化して使用不能にし、復号するためのキーと引換えに金品を要求するソフトウェア
(ITパスポート 平成31年春 問94より)

よって、正解は ア です。

以上、スキマ時間にちょっと確認2~セキュリティでした。

次は、こちら

第1回へ
スキマ時間問題
第3回へ

コメント

タイトルとURLをコピーしました