情報セキュリティマネジメント試験「脅威・脆弱性・攻撃手法・マルウェア・ソーシャルエンジニアリング」の練習問題9問です。解けなかった問題は、各問の解説末尾のリンクから対応する解説記事に進んでください。
Q1. マルウェアの分類に関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
ワーム は、ほかのファイルに寄生せず 単独で自己増殖して拡散する マルウェアです。一方 トロイの木馬 は、便利なソフトや正規のファイルを 装って侵入し、内部で不正な動作を行います。ウイルス はほかのファイルに寄生して増える点が特徴で、3つはそれぞれ増え方・侵入の仕方が異なります。
A はワームとウイルスの説明を取り違え、B はトロイの木馬とワームを混同しており、D はすべて同一とする誤りで、いずれも本問の答えではありません。
Q2. ランサムウェアの被害として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
ランサムウェア は、感染した端末内のファイルを 勝手に暗号化して開けなくし、元に戻すこと(復号)と引き換えに 身代金を要求する マルウェアです。「ランサム(ransom=身代金)」という名前のとおり、金銭を脅し取る点が特徴です。日頃から 定期的なバックアップ をとっておくことが、有効な備えになります。
A・C・D はいずれも利用者に役立つ正常な動作の説明で、ランサムウェアの被害ではありません。
Q3. ソーシャルエンジニアリングの例として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
ソーシャルエンジニアリング は、技術ではなく 人の心理や行動のすきを突いて 情報を盗み出す手口です。担当者を装った電話でパスワードを聞き出す、肩越しに画面をのぞき見る(ショルダーハッキング)、ゴミ箱の書類をあさる(トラッシング)などが代表例です。人をだます手口なので、技術的な対策だけでは防げず、教育やルールづくりが重要になります。
B・C・D はいずれも技術的な攻撃手法であり、人の心理を突くソーシャルエンジニアリングには当てはまりません。
Q4. 標的型攻撃の特徴として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
標的型攻撃 は、特定の組織や個人を狙い撃ち にする攻撃です。取引先や業務連絡を装った巧妙なメール(標的型攻撃メール)を送り、添付ファイルやリンクを開かせてマルウェアに感染させる手口がよく知られています。受け手が思わず開いてしまうよう 業務に関係ありそうな内容 に作り込まれている点が、無差別なばらまき型との大きな違いです。
A はばらまき型、B・C は実態と異なる説明で、いずれも標的型攻撃の特徴ではありません。
Q5. SQLインジェクションに関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
SQLインジェクション(入力欄に不正なデータベース操作命令を注入する攻撃)は、Webアプリの入力欄に 本来想定していない命令を紛れ込ませ、データベースから情報を不正に取り出したり、データを書き換えたりする攻撃です。主な対策は、入力値を安全に組み立てる プレースホルダ(バインド機構)の利用 や、入力値の検証(エスケープ処理)です。
A はサービス妨害(DoS)、B はランサムウェア、D はソーシャルエンジニアリングの説明で、いずれも本問の答えではありません。
Q6. クロスサイトスクリプティング(XSS)に関する説明として、もっとも適切なものはどれですか?
回答
解説
正解は「B」です。
クロスサイトスクリプティング(XSS) は、掲示板や入力フォームなどに 不正なスクリプト(プログラム)を埋め込み、それを表示した別の利用者のブラウザ上で実行させる攻撃です。これにより、クッキー(Cookie)情報の盗み取りや、偽の入力画面の表示などが行われます。対策の基本は、入力された内容をそのまま表示せず 無害な文字へ変換する(エスケープ処理) ことです。
A・C は物理的な妨害、D はパスワードの総当たり攻撃(ブルートフォース)の説明で、いずれも本問の答えではありません。
Q7. セキュリティにおける「脆弱性」の説明として、もっとも適切なものはどれですか?
回答
解説
正解は「A」です。
脆弱性 は、ソフトウェアや仕組みに潜む 攻撃に悪用されうる弱点・欠陥 を指します。修正プログラム(パッチ)が提供される前の脆弱性を突く攻撃は ゼロデイ攻撃 と呼ばれます。整理すると、攻撃のきっかけとなる弱点が「脆弱性」、損害を与える原因が「脅威」、その脅威が脆弱性を突いて実際に被害が出る可能性が「リスク」という関係になります。
C は「脅威」の説明、B・D は脆弱性とは無関係の説明で、いずれも本問の答えではありません。
Q8. 不正アクセス禁止法で禁止されている行為として、もっとも適切なものはどれですか?
回答
解説
正解は「D」です。
不正アクセス禁止法では、他人の識別符号(IDやパスワード)を無断で利用して、アクセス権限のないコンピュータに ログインする行為 などが禁止されているとされています。また、他人のIDやパスワードを不正に入手・保管する行為や、それらを第三者に提供する行為なども規制の対象とされています。
A・B・C はいずれも正当な利用やセキュリティ向上の行為で、禁止されている不正アクセスには当たりません。最新の条文や運用は、公式資料を確認してください。
Q9. セキュリティインシデント発生時の初動対応として、もっとも適切なものはどれですか?
回答
解説
正解は「C」です。
セキュリティインシデントが起きたときは、まず 被害の拡大を防ぐ(封じ込め) ことが基本です。感染が疑われる端末をネットワークから 隔離し、定められた窓口(CSIRT など)や関係部署へ 速やかに報告 し、対応の 記録を残す ことが求められます。火事のときにまず延焼を防ぎ、消防へ通報するのと同じ考え方です。
A は隠ぺいで重大な問題、B は二次被害を招きうる対応、D は報告を怠り被害を拡大させる対応で、いずれも適切ではありません。
試験全体の流れを俯瞰したい時は、情報セキュリティマネジメント試験 試験全体概要 に戻れます。
学習の全体像と次に進む分野は、情報セキュリティマネジメント試験 学習ロードマップ で確認できます。