ITパスポート/スキマ時間にちょっと確認2~セキュリティ

ITパスポートすきま問題2テクノロジ系セキュリティ分野別問題集
2021.08.25
スポンサーリンク

攻撃の名称と方法を覚えられる問題です。

解説を利用して、攻撃の名称、方法、違いを確認しましょう。

スポンサーリンク

(1) 令和2年 問60

暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を、他人のコンビュータを使って気付かれないように行うことを何と呼ぶか。

ア クリプトジャッキング
イ ソーシャルエンジニアリング
ウ バッファオーバフロー
エ フィッシング
 

解説

ア ”マイニングと呼ばれる作業を、他人のコンビュータを使って気付かれないように行う”とあるので、クリプトジャッキングの説明です。

イ ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。

ウ バッファオーバフローは、プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで、定外の動作をさせることです。
(ITパスポート 平成26年秋 問59より)

エ フィッシングは、金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得することです。
(ITパスポート 平成28年春 問63より)

よって、正解は ア です。

(2) 令和3年 問56

インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって、利用者を偽のサイトへ誘導する攻撃はどれか。

ア DDoS攻撃
イ DNSキャッシュポイズニング
ウ SQLインジェクション
エ フィッシング
 

解説

ア DDoS攻撃は、インターネット上の多数の機器から特定のネットワーク、サーバに一斉にパケットを送り、過剰に負荷をかけて機能不全にする攻撃です。

イ DNSキャッシュポイズニングは、PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する攻撃です。
(情報セキュリティ H29年秋午前 問22より)

ウ SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)

エ フィッシングは、金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得することです。
(ITパスポート 平成28年春 問63より)

よって、正解は イ です。

(3) 令和3年 問65

シャドーITの例として、適切なものはどれか。

ア 会社のルールに従い、災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
イ 他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って、情報システムにログインした。
ウ 他の社員にPCの画面をのぞかれないように、離席する際にスクリーンロックを行った。
エ データ量が多く電子メールで送れない業務で使うファイルを、会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
 

解説

シャドーITは、IT部門の許可を得ずに、従業員又は部門が業務に利用しているデバイスやクラウドサービスです。
(情報セキュリティ 平成29年秋午前 問16より)

ア “会社のルールに従い”とあるので、シャドーITではありません。

イ ”のぞき見て入手したパスワード”とあるので、ソーシャルエンジニアリングの例です。

ウ ”PCの画面をのぞかれないように”とあるので、ソーシャルエンジニアリング対策の例です。

エ ”会社が許可していないオンラインストレージサービスを利用して”とあるので、シャドーITの例です。

よって、正解は エ です。

(4) 令和3年 問94

特定のPCから重要情報を不正に入手するといった標的型攻撃に利用され、攻撃対象のPCに対して遠隔から操作を行って,ファイルの送受信やコマンドなどを実行させるものはどれか。

ア RAT
イ VPN
ウ デバイスドライバ
エ ランサムウェア
 

解説

ア RATは、リモートでシステムにアクセスして操作することを可能にするソフトウェアの総称です。

イ VPNは、公衆ネットワークなどを利用して構築された、専用ネットワークのように使える仮想的なネットワークです。
(ITパスポート 平成29年秋 問85より)

ウ デバイスドライバは、PCに接続されている周辺機器を制御、操作するためのソフトウェアです。
(ITパスポート 平成30年春 問83より)

エ ランサムウェアは、PC内のファイルを暗号化して使用不能にし、復号するためのキーと引換えに金品を要求するソフトウェアです。
(ITパスポート 平成31年春 問94より)

よって、正解は ア です。

(5) 令和4年 問56

 ランサムウェアによる損害を受けてしまった場合を想定して、その損害を軽減するための対策例として、適切なものはどれか。

ア PC内の重要なファイルは、PCから取外し可能な外部記憶装置に定期的にパックアップしておく。
イ Webサービスごとに、使用するIDやパスワードを異なるものにしておく。
ウ マルウェア対策ソフトを用いてPC内の全ファイルの検査をしておく。
エ 無線LANを使用するときには、WPA2を用いて通信内容を暗号化しておく。
 

解説

ランサムウェアは、PC内のファイルを暗号化して使用不能にし、復号するためのキーと引換えに金品を要求するソフトウェアです。
(ITパスポート 平成31年春 問94より)

ア ”外部記憶装置に定期的にパックアップしておく。”ことによって、PCが使用できなくなってもデータを利用できるので被害を軽減できます。

イ ”使用するIDやパスワードを異なるものにしておく。”は、ランサムウェアの感染を防ぐ対策です。

ウ ”マルウェア対策ソフトを用いてPC内の全ファイルの検査をしておく。”は、ランサムウェアの感染を防ぐ対策です。

エ ”WPA2を用いて通信内容を暗号化しておく。”は、無線LANの盗聴対策です。

よって、正解は ア です。

(6) 令和4年 問91

 ソーシャルエンジニアリングに該当する行為の例はどれか。

ア あらゆる文字の組合せを総当たりで機械的に入力することによって、パスワードを見つけ出す。
イ 肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する。
ウ 標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって、サービスの提供を妨げる。
エ プログラムで確保している記憶領域よりも長いデータを入力することによってパッファをあふれさせ、不正にプログラムを実行させる。
 

解説

ソーシャルエンジニアリングは、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことです。

ア ”あらゆる文字の組合せを総当たりで機械的に入力する”とあるので、人間の心理的な隙などを突いていません。

イ ”肩越しに盗み見して入手したパスワードを利用し”とあるので、人間の心理的な隙などを突いています。

ウ ”標的のサーバに大量のリクエストを送りつけて”とあるので、人間の心理的な隙などを突いていません。

エ ”プログラムで確保している記憶領域よりも長いデータを入力する”とあるので、人間の心理的な隙などを突いていません。

よって、正解は イ です。

(7) 令和4年 問95

 攻撃対象とは別のWebサイトから盗み出すなどによって、不正に取得した大量の認証情報を流用し、標的とするWebサイトに不正に侵入を試みるものはどれか。

ア DoS攻撃
イ SQLインジェクション
ウ パスワードリスト
エ フィッシング
 

解説

ア DoS攻撃は、電子メールやWeb リクヱストなどを大量に送りつけて、ネットワーク上のサーピスを提供不能にすることです。
(ITパスポート 平成25年春 問52より)

イ SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃です。
(基本情報 平成28年春午前 問37より)

ウ パスワードリスト攻撃は、複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して、不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて、ログインを試行する攻撃です。
(情報セキュリティマネジメント 平成28年春午前 問26より)

エ フィッシングは、金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得することです。
(ITパスポート 平成28年春 問63より)

よって、正解は ウ です。

ここまで、攻撃の名称と方法を覚えられる問題でした。

次回は、第3回 ISMSやリスクマネジメントについて理解を深められる問題です。

解説を利用して、問題を解きながら知識を蓄えましょう。

次は、こちら

第1回へ
スキマ時間問題
第3回へ
スポンサーリンク

コメント

タイトルとURLをコピーしました