ITパスポート過去問集 - 情報セキュリティ

令和7年 問70
情報セキュリティにおける脅威のうち,脆弱性を是正するセキュリティパッチをソフトウェアに適用することが最も有効な対策になるものはどれか。
総当たり攻撃
ソーシャルエンジニアリング
パスワードリスト攻撃
バッファオーバーフロー
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
令和7年 問73
Webサービスを狙った攻撃に関する記述と攻撃の名称の適切な組合せはどれか。

a Webサービスが利用しているソフトウェアに脆弱性の存在が判明したとき,その修正プログラムが提供される前に,この脆弱性を突いて攻撃する。
b 複数のコンピュータから大量のパケットを一斉に送り付けることによって,Webサービスを正常に提供できなくさせる。
c 理論的にあり得るパスワードのパターンを順次試すことによって,正しいパスワードを見つけ,攻撃対象の Webサービスに侵入する。

abc
DDoS攻撃ゼロデイ攻撃ブルートフォース攻撃
DDoS攻撃ブルートフォース攻撃ゼロデイ攻撃
ゼロデイ攻撃DDoS攻撃ブルートフォース攻撃
ゼロデイ攻撃ブルートフォース攻撃DDoS攻撃
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
令和7年 問93
情報セキュリティにおける脅威の説明として,適切なものはどれか。
攻撃者が付け込むことのできる情報システムの弱点
情報資産が被害に遭う確率と被害規模の組合せ
情報資産に損害を与える原因となるもの
情報システムの弱点を利用した攻撃によって被害を受ける可能性
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
令和6年 問73
IoT機器のセキュリティ対策のうち,ソーシャルエンジニアリング対策として,最も適切なものはどれか。
IoT機器とサーバとの通信は,盗聴を防止するために常に暗号化通信で行う。
IoT機器のぜい弱性を突いた攻撃を防止するために,機器のメーカーから最新のファームウェアを入手してアップデートを行う。
IoT機器へのマルウェア感染を防止するためにマルウェア対策ソフトを導入する。
IoT機器を廃棄するときは,内蔵されている記憶装置からの情報漏えいを防止するために物理的に破壊する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
ソーシャルエンジニアリングとは、秘密の情報や重要な情報、あるいはその手がかりを、それを知る本人や周辺者への接触や接近を通じて盗み取る手法の総称です。本人の使っていた装置を物理的に入手して読み取る手段も含まれるため、正解は「エ」です。

「ア」の暗号化は情報の盗み取りへの技術的な対策です。
「イ」の脆弱性を悪用した攻撃の防止は技術的な対策です。
「ウ」のマルウェア感染の防止は技術的な対策です。
令和6年 問87
通常の検索エンジンでは検索されず匿名性が高いので,サイバー攻撃や違法商品の取引などにも利用されることがあり,アクセスするには特殊なソフトウェアが必要になることもあるインターネット上のコンテンツの総称を何と呼ぶか。
RSS
SEO
クロスサイトスクリプティング
ダークウェブ
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
Web上で公開されているサーバやコンテンツのうち、通常の方法では検索や閲覧を受け付けないようになっているものを「ダークウェブ」と言います。「エ」が正解です。

「ア」の「RSS」(RDF Site Summary)は、ブログやニュースサイトなどの更新情報を配信するためのデータ形式です。
「イ」の「SEO」(Search Engine Optimization)は、Webページが検索エンジンで検索したときになるべく上位に表示されるよう様々な工夫を行うことを指します。
「ウ」の「クロスサイトスクリプティング」は、利用者が入力した文字列がそのまま表示されるようなWebサイトで、攻撃者が悪意のあるスクリプトを仕込んで他の利用者のブラウザで実行させるような攻撃手法を指します。
令和6年 問98
ランサムウェアに関する記述として,最も適切なものはどれか。
PCに外部から不正にログインするための侵入路をひそかに設置する。
PCのファイルを勝手に暗号化し,復号のためのキーを提供することなどを条件に金銭を要求する。
Webブラウザを乗っ取り,オンラインバンキングなどの通信に割り込んで不正送金などを行う。
自らネットワークを経由して感染を広げる機能をもち,まん延していく。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
ランサムウェアマルウェアの一種で、感染したコンピュータストレージ暗号化したり内容を盗み取るなどして、データの復元や盗んだデータの破棄のために「身代金」(ransom)を要求するものです。「イ」が正解です。

「ア」は「ルートキット」の説明です。
「ウ」は「MITB」(Man-In-The-Browser)の説明です。
「エ」は「ワーム」の説明です。
令和6年 問100
正しいURLを指定してインターネット上のWebサイトへアクセスしようとした利用者が,偽装されたWebサイトに接続されてしまうようになった。原因を調べたところ,ドメイン名IPアドレスの対応付けを管理するサーバぜい弱性があり,攻撃者によって,ドメイン名IPアドレスを対応付ける情報が書き換えられていた。このサーバが受けた攻撃はどれか。
DDoS攻撃
DNSキャッシュポイズニング
ソーシャルエンジニアリング
ドライブバイダウンロード
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
ドメイン名IPアドレスを対応付けるDNSサーバに偽の情報を流し、正しいURLを指定したのに悪意のあるサイトへ誘導されてしまう攻撃手法を「DNSキャッシュポイズニング」と言います。「イ」が正解です。

「ア」の「DDoS攻撃」(Distributed Denial-of-Service)は、不正アクセスで乗っ取った多数の機器を組織化し、特定のサーバへ一斉にアクセスを発生させることで麻痺状態に追い込む攻撃です。
「ウ」のソーシャルエンジニアリングは、本人に物理的に接近してデスクの周りに貼られたパスワードのメモを盗み見るといった「社会的」な攻撃です。
「エ」の「ドライブバイダウンロード」は、Webサイトなどに不正なソフトウェアを隠しておき、閲覧者がアクセスすると気づかないうちに自動でダウンロードして実行する攻撃手法です。
令和5年 問58
Webサイトなどに不正なソフトウェアを潜ませておき,PCやスマートフォンなどのWebブラウザからこのサイトにアクセスしたとき,利用者が気付かないうちにWebブラウザなどのぜい弱性を突いてマルウェアを送り込む攻撃はどれか。
DDoS攻撃
SQLインジェクション
ドライブバイダウンロード
フィッシング攻撃
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
Webサイトに不正なソフトウェアを仕込んでアクセスしたブラウザを通じて感染する手法は「ドライブバイダウンロード」と言います。「ウ」が正解です。

「ア」「DDoS攻撃」(Distributed Denial-of-Service)は、不正アクセスで乗っ取った多数の機器を組織化し、特定のサーバへ一斉にアクセスを発生させることで麻痺状態に追い込む攻撃です。
「イ」の「SQLインジェクション」は、データベースシステムのSQL文解釈の欠陥を悪用し、SQL文の断片を仕込んだ文字列を外部から入力して不正な動作を行わせる攻撃手法です。
「エ」の「フィッシング攻撃」は、大手企業や政府機関などのWebサイトや案内メールにそっくりな偽物を作り、利用者を騙して重要な情報を詐取する攻撃手法です。
令和5年 問73
攻撃者がコンピュータに不正侵入したとき,再侵入を容易にするためにプログラムや設定の変更を行うことがある。この手口を表す用語として,最も適切なものはどれか。
盗聴
バックドア
フィッシング
ポートスキャン
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
攻撃者がシステムへの侵入後、遠隔操作できる環境を維持する秘密の窓口を設けることがあり、「裏口」を意味する「バックドア」と呼ばれます。「イ」が正解です。

「ア」の「盗聴」は送受信されるデータをこっそり盗み取ることを指します。
「ウ」の「フィッシング」は本物そっくりの偽のサイトやメールを用意して利用者を騙し、秘密の情報を盗み取る手口です。
「エ」の「ポートスキャン」は、システムと外部の接続窓口であるポート番号に片っ端から接続を試み、侵入に適した脆弱なソフトウェアなどが動作していないか調べる手口です。
令和5年 問80
USBメモリなどの外部記憶媒体をPCに接続したときに,その媒体中のプログラムや動画などを自動的に実行したり再生したりするOSの機能であり,マルウェア感染の要因ともなるものはどれか。
オートコレクト
オートコンプリート
オートフィルター
オートラン
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
Windowsなどには記憶媒体を認識すると特定のファイルを読み込んで指定のプログラムファイルを自動実行する機能があり、「オートラン」と呼ばれます。「エ」が正解です。これを悪用して感染プログラムを自動実行するマルウェアが流行したため、現在では無効に設定されているシステムが大半です。

「ア」の「オートコレクト」は文書編集ソフトなどの機能の一つで、入力した文字列の綴り間違いなどを自動検知して修正してくれる機能です。
「イ」の「オートコンプリート」はプログラミングに用いるコードエディタなどの機能の一つで、文字列を途中まで入力すると補完候補を提案してくれる機能です。
「ウ」の「オートフィルター」は表計算ソフトなどの機能の一つで、ワークシートの中から指定の条件に一致するデータのみを表示して、それ以外を表示しないようにする機能です。
令和5年 問89
企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。
ゼロデイ攻撃
ソーシャルエンジニアリング
ソーシャルメディア
トロイの木馬
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
攻撃対象の本人や周囲の人物、所属組織などに物理的に接近・接触し、画面に写っている情報や紙に書かれた情報を盗み見たり、会話を盗み聞きするなど、「社会的」な手法で重要な情報を入手する攻撃手法を「ソーシャルエンジニアリング」(social engineering)と言います。「イ」が正解です。

「ア」の「ゼロデイ攻撃」は、存在や対処法が公表されていない脆弱性を利用して無防備な対象を攻撃することを指します。
「ウ」の「ソーシャルメディア」は、個人による情報発信や個人間のコミュニケーション、人の結びつきを利用した情報流通などといった社会的な要素を含んだ情報媒体を指します。
「エ」の「トロイの木馬」は、一見有用なソフトウェアを装って利用者に入手や導入を促し、コンピュータに入り込んだら攻撃を開始するマルウェアです。
令和4年 問69
サイバーキルチェーンの説明として,適切なものはどれか。
情報システムヘの攻撃段階を,偵察,攻撃,目的の実行などの複数のフェーズに分けてモデル化したもの
ハブやスイッチなどの複数のネットワーク機器を数珠つなぎに接続していく接続方式
ブロックと呼ばれる幾つかの取引記録をまとめた単位を,一つ前のブロックの内容を示すハッシュ値を設定して,鎖のようにつなぐ分散管理台帳技術
本文中に他者への転送を促す文言が記述された迷惑な電子メールが,不特定多数を対象に,ネットワーク上で次々と転送されること
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
サイバーキルチェーンは、軍事分野で敵への攻撃行動を段階に分けてモデル化した「キルチェーン」をサイバー攻撃に応用した概念です。攻撃者が標的を攻撃する際に行う行為を段階に分けて整理しています。正解は「ア」です。

「イ」は「デイジーチェーン」の説明です。
「ウ」は「ブロックチェーン」の説明です。
「エ」は「チェーンメール」の説明です。
令和4年 問91
ソーシャルエンジニアリングに該当する行為の例はどれか。
あらゆる文字の組合せを総当たりで機械的に入力することによって,パスワードを見つけ出す。
肩越しに盗み見して入手したパスワードを利用し,他人になりすましてシステムを不正利用する。
標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって,サービスの提供を妨げる。
プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ,不正にプログラムを実行させる。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
ソーシャルエンジニアリングは、標的の個人や組織に物理的に接近あるいは接触し、紙に書かれた重要な情報を盗み見たり、会話を盗み聞きするなど、技術的でないやり方で情報を盗み取る手法です。「イ」が正解です。

「ア」は「総当たり攻撃」(ブルートフォースアタック)の説明です。コンピュータで自動的に実行するためソーシャルエンジニアリングではありません。

「ウ」は「DoS攻撃」の説明です。コンピュータで自動的に実行するためソーシャルエンジニアリングではありません。

「エ」は「バッファオーバーフロー攻撃」の説明です。コンピュータプログラムの振る舞いを利用するもので、ソーシャルエンジニアリングではありません。
令和4年 問95
攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。
DoS攻撃
SQLインジェクション
パスワードリスト攻撃
フィッシング
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
何らかの方法で入手したIDとパスワードのリストを用いて、標的のシステムに次々にログインを試みる攻撃を「パスワードリスト攻撃」と言います。同じIDとパスワードの組を使いまわしているユーザーは、標的サービスにセキュリティ上の問題がなくてもアカウントを乗っ取られてしまいます。「ウ」が正解です。

「ア」の「DoS攻撃」は大量のデータを標的に送りつけて麻痺状態に追い込む攻撃です。不正侵入のための手法ではありません。

「イ」の「SQLインジェクション」は入力データに基づいてデータベース操作を行うプログラムに対して、SQL断片を含む文字列を入力して不正な動作を引き起こす攻撃です。

「エ」の「フィッシング」は本物そっくりに似せた偽のWebサイトや案内メールを用意して標的を騙し、パスワードやクレジットカード番号など重要な情報を入力させる攻撃です。
令和3年 問56
インターネットにおいてドメイン名IPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって,利用者を偽のサイトへ誘導する攻撃はどれか。
DDoS攻撃
DNSキャッシュポイズニング
SQLインジェクション
フィッシング
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
IPアドレスドメイン名の対応関係を管理するDNSサーバに偽の情報を流し、問い合わせてきた利用者が正しいドメイン名を入力しているのに偽サイトに誘導されてしまう攻撃を「DNSキャッシュポイズニング」と言います。「イ」が正解です。

「ア」の「DDoS攻撃」は、攻撃者が乗っ取った多数の機器を遠隔操作し、一斉に特定のサーバへアクセスを発生させて麻痺状態に追い込む攻撃です。

「ウ」の「SQLインジェクション」は、利用者の入力に基づいてデータベース操作を行うWebサイトなどに、SQLの断片を含む特殊な文字列を入力することで不正な操作を行わせる攻撃です。

「エ」の「フィッシング」は、本物そっくりに作られたWebサイトや案内メールで利用者を騙し、パスワードやクレジットカード番号など重要な情報を入力させて奪い取る攻撃です。
令和3年 問65
シャドーITの例として,適切なものはどれか。
会社のルールに従い,災害時に備えて情報システムの重要なデータを遠隔地にバックアップした。
他の社員がパスワードを入力しているところをのぞき見て入手したパスワードを使って,情報システムログインした。
他の社員にPCの画面をのぞかれないように,離席する際にスクリーンロックを行った。
データ量が多く電子メールで送れない業務で使うファイルを,会社が許可していないオンラインストレージサービスを利用して取引先に送付した。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
企業などの情報システム部門が存在を把握しておらず、利用部門や従業員が勝手に導入して使用しているIT機器やソフトウェア、ネットサービスなどを総称して「シャドーIT」と言います。

「ア」… 不適切。「遠隔地バックアップ」の説明です。会社のルールに従って行っているのでシャドーITではありません。

「イ」… 不適切。「ソーシャルエンジニアリング」の説明です。攻撃手法でありシャドーITではありません。

「ウ」… 不適切。「クリアスクリーン」の説明です。セキュリティ施策でありシャドーITではありません。

「エ」… 正解。会社側が把握していないオンラインストレージを利用して外部と大容量ファイルをやり取りするのはシャドーITの例です。
令和3年 問94
特定のPCから重要情報を不正に入手するといった標的型攻撃に利用され,攻撃対象のPCに対して遠隔から操作を行って,ファイルの送受信やコマンドなどを実行させるものはどれか。
RAT
VPN
デバイスドライバ
ランサムウェア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
攻撃者が不正アクセスマルウェアによって乗っ取りに成功したパソコンサーバに、遠隔からの操作を受け付けるためのツールを導入することがあります。このようなツールを「RAT」(Remote Access Tool)と言います。「ア」が正解です。

「イ」の「VPN」(Virtual Private Network)は、広域回線網の中に暗号化された伝送経路を構築し、拠点間を結んで仮想的な構内ネットワークを構成したものを指します。

「ウ」の「デバイスドライバ」は、コンピュータに装着した部品や周辺機器を制御するためにOSに組み込まれるプログラムです。

「エ」の「ランサムウェア」は、マルウェアの一種で、感染したコンピュータストレージ暗号化するなどして、解除のために攻撃者への身代金の支払いを要求するものです。
令和2年秋期 問56
HTML形式の電子メールの特徴を悪用する攻撃はどれか。
DoS攻撃
SQLインジェクション
悪意のあるスクリプトの実行
辞書攻撃
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
HTMLメールWebページと同じように文字装飾や画像の埋め込み表示などを利用できますが、JavaScriptで動的な処理を実行できるため、悪意のあるスクリプトを実行させられてしまう危険性があります。「ウ」が正解です。

「ア」の「DoS攻撃」は、Webサイトに大量のアクセス要求を送りつけて麻痺状態に陥れる攻撃です。

「イ」の「SQLインジェクション」は、利用者からの入力を受け付けてデータベース操作を行うサーバで、SQL断片を仕込んだ特殊な文字列を入力して不正な動作を引き起こす攻撃です。

「エ」の「辞書攻撃」は、大量の単語やフレーズ、およびそれらの組み合わせをリスト化し、パスワード候補として入力してみる攻撃です。
令和2年秋期 問58
受信した電子メールに添付されていた文書ファイルを開いたところ,PCの挙動がおかしくなった。疑われる攻撃として,適切なものはどれか。
SQLインジェクション
クロスサイトスクリプティング
ショルダーハッキング
マクロウイルス
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
令和2年秋期 問60
暗号資産仮想通貨)を入手するためのマイニングと呼ばれる作業を,他人のコンピュータを使って気付かれないように行うことを何と呼ぶか。
クリプトジャッキング
ソーシャルエンジニアリング
バッファオーバフロー
フィッシング
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
令和1年秋期 問63
チェーンメールの特徴として,適切なものだけを全て挙げたものはどれか。

a グループ内の連絡や情報共有目的で利用される。
b ネットワークサーバに,無駄な負荷をかける。
c 返信に対する返信を,お互いに何度も繰り返す。
d 本文中に,多数への転送をあおる文言が記されている。
a, c
a, d
b, c
b, d
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説
チェーンメールとは電子メールの迷惑行為の一つで、「不幸の手紙」のように、受信者に別の人への転送を促す文言が記載され、連鎖的に多数の人へ回覧されるメールのことです。

「a」 … 不適切。連絡や情報共有のためではなく一方的な要請が書かれています。

「b」… 適切。大量のメールが転送されると無駄な負荷が生じます。

「c」… 不適切。返信ではなく同じ内容を繰り返し転送します。

「d」… 適切。受信者に転送を促す文言が入っています。

「b」と「d」が当てはまるので「エ」が正解です。
令和1年秋期 問98
攻撃者が他人のPCにランサムウェアを感染させる狙いはどれか。
PC内の個人情報ネットワーク経由で入手する。
PC内のファイルを使用不能にし,解除と引換えに金銭を得る。
PCのキーボードで入力された文字列を,ネットワーク経由で入手する。
PCへの動作指示をネットワーク経由で送り,PCを不正に操作する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
令和1年秋期 問100
ぜい弱性のある IoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し,他の多数の IoT機器にマルウェア感染が拡大した。ある日のある時刻に,マルウェアに感染した多数の IoT機器が特定のWebサイトへ一斉に大量のアクセスを行い,Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれか。
DDoS攻撃
クロスサイトスクリプティング
辞書攻撃
ソーシャルエンジニアリング
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成31年春期 問65
企業での内部不正などの不正が発生するときには,“不正のトライアングル”と呼ばれる3要素の全てがそろって存在すると考えられている。“不正のトライアングル”を構成する3要素として,最も適切なものはどれか。
機会,情報,正当化
機会,情報,動機
機会,正当化,動機
情報,正当化,動機
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成31年春期 問69
PCでWebサイトを閲覧しただけで,PCにウイルスなどを感染させる攻撃はどれか。
DoS攻撃
ソーシャルエンジニアリング
ドライブバイダウンロード
バックドア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成31年春期 問88
ウイルスの感染に関する記述のうち,適切なものはどれか。
OSやアプリケーションだけではなく,機器に組み込まれたファームウェアも感染することがある。
PCをネットワークにつなげず,他のPCとのデータ授受に外部記憶媒体だけを利用すれば,感染することはない。
感染が判明したPCはネットワークにつなげたままにして,直ちにOSやセキュリティ対策ソフトのアップデート作業を実施する。
電子メール添付ファイルを開かなければ,感染することはない。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成31年春期 問94
ランサムウェアの説明として,適切なものはどれか。
PC内のファイル暗号化して使用不能にし,復号するためのキーと引換えに金品を要求するソフトウェア
キーボードの入力を不正に記録するソフトウェア
システムログを改ざんすることによって,自らを発見されにくくするソフトウェア
自ら感染を広げる機能をもち,ネットワークを経由してまん延していくソフトウェア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成30年秋期 問60
オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて,攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。
MITB(Man In The Browser)攻撃
SQLインジェクション
ソーシャルエンジニアリング
ブルートフォース攻撃
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成30年秋期 問67
情報資産に対するリスクは,脅威とぜい弱性を基に評価する。脅威に該当するものはどれか。
暗号化しない通信
機密文書の取扱方法の不統一
施錠できないドア
落雷などによる予期しない停電
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成30年秋期 問77
情報セキュリティの脅威に関する説明①〜③と,用語の適切な組合せはどれか。

① Webページに,利用者の入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込み,訪問者のブラウザ上で実行させることによって,cookieなどのデータを盗み出す攻撃
② 多数のPCに感染し,ネットワークを介した指示に従ってPCを不正に操作することによって,一斉攻撃などを行うプログラム
③ 利用者に有用なプログラムと見せかけて,インストール及び実行させることによって,利用者が意図しない情報の破壊や漏えいを行うプログラム

クロスサイトスクリプティングトロイの木馬ボット
クロスサイトスクリプティングボットトロイの木馬
標的型攻撃クロスサイトスクリプティングトロイの木馬
標的型攻撃トロイの木馬クロスサイトスクリプティング
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成30年春期 問66
PCで電子メールの本文に記載されていたURLにアクセスしたところ,画面に図のメッセージが表示され,PCがロックされてしまった。これは,何による攻撃か。

キーロガー
スパイウェア
ボット
ランサムウェア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成30年春期 問67
サイバー攻撃例ではないものはどれか。
機密情報の取得を目的として,オフィスから廃棄された記録メディアをあさる。
サーバぜい弱性を利用して,Webサイトに侵入してデータを改ざんする。
大量のアクセスを集中させて,サービスを停止させる。
バックドアを利用して,他人のPCを遠隔操作する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成30年春期 問87
情報セキュリティ上の脅威であるゼロデイ攻撃の手口を説明したものはどれか。
攻撃開始から24時間以内に,攻撃対象のシステムを停止させる。
潜伏期間がないウイルスによって,感染させた直後に発症させる。
ソフトウェアのぜい弱性への対策が公開される前に,脆弱性を悪用する。
話術や盗み聞きなどによって,他人から機密情報を直ちに入手する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成30年春期 問100
仮想的に二つのESSIDをもつ無線LANアクセスポイントを使用して,PC,タブレット,ゲーム機などの機器をインターネットに接続している。それぞれのESSIDを次の設定で使用する場合,WEPの暗号化方式の脆弱性によって,外部から無線LAN不正アクセスされたときに発生しやすい被害はどれか。

ESSID1ESSID2
設定暗号化方式WPA2WEP
暗号化キーESSID2のものとは異なるキーESSID1のものとは異なるキー
通信制限なし接続した機器から管理画面とLAN内の他の機器への通信は拒否
使用方法PC,タブレットを接続ゲーム機だけを接続
ESSID1に設定した暗号化キーが漏えいする。
PCからインターネットヘの通信内容が漏えいする。
インターネット接続回線を不正利用される。
タブレットに不正アクセスされる。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成29年秋期 問56
PC内のファイル暗号化して使用不能にし,復号するためのキーと引換えに金品を要求するソフトウェアを何と呼ぶか。
キーロガー
ランサムウェア
ルートキット
ワーム
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成29年秋期 問65
人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。
DoS攻撃
SQLインジェクション
ソーシャルエンジニアリング
バッファオーバフロー
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成29年秋期 問91
クロスサイトスクリプティングなどの攻撃で,Cookieが漏えいすることによって受ける被害の例はどれか。
PCがウイルスに感染する。
PC内のファイルを外部に送信される。
Webサービスアカウントを乗っ取られる。
無線LANを介してネットワークに侵入される。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成29年秋期 問96
次の事例に該当する攻撃はどれか。

〔事例〕
 広報担当のA氏宛てに,新聞社を名乗る相手から取材依頼の電子メールが届いた。送信元がフリーメールのアドレスであり,本文にはURLとその参照を促す記載がされていた。A氏は不審に思い,セキュリティ部門に連絡した。セキュリティ部門が調査を行った結果,このURLにアクセスするとウイルスに感染し,PC内部の情報が全てインターネットヘ送信されるおそれがあることが判明した。また,同様のメールが各事業部の広報担当者にも届いていた。
辞書攻撃
スパムメール
標的型攻撃
メール爆弾
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成29年春期 問58
スパイウェアの説明はどれか。
Webサイトの閲覧や画像のクリックだけで料金を請求する詐欺のこと
攻撃者がPCへの侵入後に利用するために,ログの消去やバックドアなどの攻撃ツールをパッケージ化して隠しておく仕組みのこと
多数のPCに感染して,ネットワークを通じた指示に従ってPCを不正に操作することで一斉攻撃などの動作を行うプログラムのこと
利用者が認識することなくインストールされ,利用者の個人情報やアクセス履歴などの情報を収集するプログラムのこと
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成29年春期 問80
情報セキュリティを脅かすもののうち,ソフトウェアのぜい弱性を修正するパッチを適用することが最も有効な対策となるものはどれか。
総当たり攻撃
ソーシャルエンジニアリング
バッファオーバフロー
ポートスキャン
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成29年春期 問81
Webサーバ認証において,同じ利用者IDに対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に,その利用者IDを自動的に一定期間利用停止にするセキュリティ対策を行った。この対策によって,最も防御の効果が期待できる攻撃はどれか。
ゼロデイ攻撃
パスワードリスト攻撃
バッファオーバフロー攻撃
ブルートフォース攻撃
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成28年秋期 問80
キーロガーワームのような悪意のあるソフトウェアの総称はどれか。
シェアウェア
ファームウェア
マルウェア
ミドルウェア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成28年秋期 問83
情報システムに対する攻撃のうち,あるIDに対して所定の回数を超えてパスワードの入力を間違えたとき,当該IDの使用を停止させることが有効な防衛手段となるものはどれか。
DoS攻撃
SQLインジェクション
総当たり攻撃
フィッシング
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成28年春期 問61
ランサムウェアに関する記述として,適切なものはどれか。
PCやファイルを使用不能にするなどして,回復のための金銭を要求する。
コンピュータの画面へ自動的に広告を表示する。
利用者がキーボードから入力した情報を記録し,外部に送信する。
ワープロソフト表計算ソフトの文書ファイルに感染する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成28年春期 問63
フィッシングの説明として,適切なものはどれか。
ウイルスに感染しているPCへ攻撃者がネットワークを利用して指令を送り,不正なプログラムを実行させること
金融機関などからの電子メールを装い,偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得すること
パスワードに使われそうな文字列を網羅した辞書データを使用してパスワードを割り出すこと
複数のコンピュータから攻撃対象のサーバヘ大量のパケットを送信し,サーバの機能を停止させること
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成28年春期 問86
情報セキュリティにおけるソーシャルエンジニアリングの例として,適切なものはどれか。
社員を装った電話を社外からかけて,社内の機密情報を聞き出す。
送信元IPアドレスを偽装したパケットを送り,アクセス制限をすり抜ける。
ネットワーク上のパケットを盗聴し,パスワードなどを不正に入手する。
利用者が実行すると,不正な動作をするソフトウェアをダウンロードする。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成27年秋期 問73
情報セキュリティにおけるクラッキングの説明として,適切なものはどれか。
PCなどの機器に対して,外部からの衝撃や圧力,落下,振動などの耐久テストを行う。
悪意をもってコンピュータに不正侵入し,データを盗み見たり破壊などを行う。
システム管理者として,ファイアウォールの設定など,情報機器の設定やメンテナンスを行う。
組織のセキュリティ対策が有効に働いていることを確認するために監査を行う。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成27年秋期 問81
不正アクセスを行う手段の一つであるIPスプーフィングの説明として,適切なものはどれか。
金融機関や有名企業などを装い,電子メールなどを使って利用者を偽のサイトへ誘導し,個人情報などを取得すること
侵入を受けたサーバに設けられた,不正侵入を行うための通信経路のこと
偽の送信元IPアドレスをもったパケットを送ること
本人に気付かれないように,利用者の操作や個人情報などを収集すること
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成27年春期 問66
スパイウェアが目的としている動作の説明として,最も適切なものはどれか。
OSやソフトウェアの動作を不安定にする。
ファイルシステム上から勝手にファイルを削除する。
ブラウザをハイジャックして特定の動作を強制する。
利用者に気付かれないように個人情報などを収集する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成27年春期 問69
ソーシャルエンジニアリングによる被害に結びつきやすい状況はどれか。
運用担当者のセキュリティ意識が低い。
サーバ室の天井の防水対策が行われていない。
サーバヘのアクセス制御が行われていない。
通信経路が暗号化されていない。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成27年春期 問84
クロスサイトスクリプティングに関する記述として,適切なものはどれか。
Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。
Webページの入力項目にOSの操作コマンドを埋め込んでWebサーバに送信し,サーバを不正に操作する。
複数のWebサイトに対して,ログインIDパスワードを同じものに設定するという利用者の習性を悪用する。
利用者に有用なソフトウェアと見せかけて,悪意のあるソフトウェアインストールさせ,利用者のコンピュータに侵入する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成26年秋期 問58
不正アクセスなどに利用される,コンピュータシステムネットワークに存在する弱点や欠陥のことを何というか。
インシデント
セキュリティホール
ハッキング
フォレンジック
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成26年秋期 問59
情報セキュリティにおける脅威であるバッファオーバフローの説明として,適切なものはどれか。
特定のサーバに大量の接続要求を送り続けて,サーバが他の接続要求を受け付けることを妨害する。
特定のメールアドレスに大量の電子メールを送り,利用者のメールボックスを満杯にすることで新たな電子メールを受信できなくする。
ネットワークを流れるパスワードを盗聴し,それを利用して不正にアクセスする。
プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで,想定外の動作をさせる。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成26年秋期 問80
物理的セキュリティ対策の不備が原因となって発生するインシデントの例として,最も適切なものはどれか。
DoS攻撃を受け,サーバが停止する。
PCがコンピュータウイルスに感染し,情報が漏えいする。
社員の誤操作によって,PC内のデータが消去される。
第三者がサーバ室へ侵入し,データを盗み出す。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成26年春期 問53
DoS攻撃によってサーバが受ける直接的な被害はどれか。
暗号化してあるデータ解読される。
管理者用パスワードが変更される。
コンピュータウイルスに感染する。
サービスの提供が阻害される。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成26年春期 問61
マルウェアに関する説明 a~c とマルウェアの分類の適切な組合せはどれか。

a 感染したコンピュータが,外部からの指令によって,特定サイトへの一斉攻撃,スパムメールの発信などを行う。
b キーロガーなどで記録された利用者に関する情報を収集する。
c コンピュータシステムに外部から不正にログインするために仕掛けられた侵入路である。

abc
スパイウェアトロイの木馬バックドア
スパイウェアバックドアトロイの木馬
ボットスパイウェアバックドア
ボットトロイの木馬スパイウェア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成25年秋期 問74
ゼロデイ攻撃の説明として,適切なものはどれか。
TCP/IPプロトコルポート番号を順番に変えながらサーバにアクセスし,侵入口と成り得るぜい弱なポートがないかどうかを調べる攻撃
システムの管理者や利用者などから,巧妙な話術や盗み見などによって,パスワードなどのセキュリティ上重要な情報を入手して,利用者になりすましてシステムに侵入する攻撃
ソフトウェアに脆弱性が存在することが判明したとき,そのソフトウェアの修正プログラムベンダから提供される前に,判明した脆弱性を利用して行われる攻撃
パスワードの割り出しや暗号解読を行うために,辞書にある単語を大文字と小文字を混在させたり数字を加えたりすることで,生成した文字列を手当たり次第に試みる攻撃
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成25年秋期 問77
マルウェアの説明として,適切なものはどれか。
インターネットから社内ネットワークへの不正侵入を検知する仕組み
コンピュータウイルスワームなどを含む悪意のあるソフトウェアの総称
ネットワークを介し,コンピュータ間でファイル共有を行うソフトウェアの総称
話術や盗み聞きなどによって,社内の情報を盗み出す行為
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成25年春期 問52
DoSDenial of Service)攻撃の説明として,適切なものはどれか。
他人になりすまして,ネットワーク上のサービスを不正に利用すること
通信経路上で他人のデータを盗み見ること
電子メールWebリクエストなどを大量に送りつけて,ネットワーク上のサービスを提供不能にすること
文字の組合せを順に試すことによって,パスワード解読しようとすること
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成25年春期 問62
ランサムウェアの説明として,適切なものはどれか。
ウイルスなどを検知して,コンピュータを脅威から守り,安全性を高めるソフトウェアの総称
感染すると勝手にファイルデータ暗号化などを行って,正常にデータにアクセスできないようにし,元に戻すための代金を利用者に要求するソフトウェア
キーボード入力や画面出力といった入出力機能や,ディスクやメモリの管理などコンピュータシステム全体を管理するソフトウェア
ローマ字から平仮名や片仮名へ変換したり,仮名から漢字へ変換するなどコンピュータでの利用者の文字入力を補助するソフトウェア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成25年春期 問76
共通鍵暗号方式では通信の組合せごとに鍵が1個必要となる。例えばA~Dの4人が相互に通信を行う場合は,AB,AC,AD,BC,BD,CDの組合せの6個の鍵が必要である。8人が相互に通信を行うためには何個の鍵が必要か。

12
16
28
32
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成24年秋期 問60
クロスサイトスクリプティングの特徴に関する記述として,適切なものはどれか。
Webサイトに入力されたデータに含まれる悪意あるスクリプトを,そのままWebブラウザに送ってしまうというぜい弱性を利用する。
入力されたデータの長さをチェックしていないWebサイト上のアプリケーションに対し,長すぎるデータを送りつける。
有用なソフトウェアに見せかけて利用者にインストールさせ,コンピュータに侵入する。
ワープロソフト表計算ソフトの操作手順を記録し,呼び出して実行する機能を不正に利用する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成24年秋期 問68
アドウェアに関する記述として,適切なものはどれか。
PCの画面上に広告を表示させる。
ネットワークで接続されたコンピュータ間を,自己複製しながら移動する。
ネットワークを介して,他人のPCを自由に操ったり,パスワードなど重要な情報を盗んだりする。
ワープロソフト表計算ソフトのデータファイルに感染する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成24年春期 問54
不正プログラムの一種であるトロイの木馬の特徴はどれか。
アプリケーションソフトマクロ機能を利用してデータファイルに感染する。
新種ウイルスの警告メッセージなどの偽りのウイルス情報をチェーンメールで流す。
ネットワークを利用して,他のコンピュータに自分自身のコピーを送り込んで自己増殖する。
有用なソフトウェアに見せかけて配布された後,システムの破壊や個人情報の詐取など悪意ある動作をする。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成24年春期 問77
クロスサイトスクリプティングとは,Webサイトのぜい弱性を利用した攻撃である。クロスサイトスクリプティングに関する記述として,適切なものはどれか。
Webページに,ユーザの入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込むことでクッキーなどのデータを盗み出す。
サーバクライアント間の正規のセッションに割り込んで,正規のクライアントに成りすますことで,サーバ内のデータを盗み出す。
データベースに連携しているWebページのユーザ入力領域に悪意あるSQLコマンドを埋め込み,サーパ内のデータを盗み出す。
電子メールを介して偽のWebサイトに誘導し,個人情報を盗み出す。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成23年秋期 問87
フィッシングの説明として,最も適切なものはどれか。
ウイルスに感染したコンピュータを,そのウイルスの機能を利用することによってインターネットなどのネットワークを介して外部から不正に操作する。
偽の電子メールを送信するなどして,受信者を架空のWebサイトや実在しているWebサイトの偽サイトに誘導し,情報を不正に取得する。
利用者が入力したデータをそのままブラウザに表示する機能がWebページにあるとき,その機能のぜい弱性を突いて悪意のあるスクリプトを埋め込み,そのページに アクセスした他の利用者の情報を不正に取得する。
利用者に気づかれないようにPCにプログラムを常駐させ,ファイルデータやPC操作の情報を不正に取得する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成23年春期 問75
情報セキュリティの脅威であるキーロガーの説明として,適切なものはどれか。
PC利用者の背後からキーボード入力とディスプレイを見ることで情報を盗み出す。
キーボード入力を記録する仕組みを利用者のPCで動作させ,この記録を入手する。
パスワードとして利用されそうな単語を網羅した辞書データを用いて,パスワードを解析する。
無線LANの電波を検知できるPCを持って街中を移動し,不正に利用が可能なアクセスポイントを見つけ出す。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成23年春期 問76
多数のコンピュータに感染し,遠隔操作で攻撃者から指令を受けるとDDoS攻撃などを一斉に行う不正プログラムに付けられた呼び名はどれか。
ハニーポット
ボット
マクロウイルス
ワーム
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成22年秋期 問75
銀行やクレジットカード会社などを装った偽のWebページを開設し,金融機関や公的機関などを装った偽の電子メールなどで,利用者を巧みに誘導して,暗証番号やクレジットカード番号などの個人情報を盗み取る行為を何と呼ぶか。
クラッキング
バッファオーバフロー
フィッシング
ボット
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成22年春期 問87
攻撃者が,システムの利用者になりすましてシステム管理者に電話をかけ,パスワードを忘れたと言ってパスワードを初期化してもらい,システムに侵入した。このような行為を何というか。
DoS攻撃
総当たり攻撃
ソーシャルエンジニアリング
バックドア
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成21年秋期 問58
インターネットなどのネットワークを介して,自分自身の複製を電子メールに添付して勝手に送信したり,ネットワーク上のほかのコンピュータに自分自身をコピーしたりして,自己増殖するプログラム降どれか。
クッキー
スパイウェア
トロイの木馬
ワーム
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成21年秋期 問66
セキュリテイ事故の例のうち,原因が物理的脅威に分類されるものはどれか。
大雨によってサーバ室に水が入り,機器が停止する。
外部から公開サーバに大量のデータを送られて,公開サーパが停止する。
攻撃者がネットワークを介して社内のサーバに侵入し,ファイルを破壊する。
社員がコンピュータを誤操作し,データが破壊される。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成21年秋期 問71
スパムメールの説明として,適切なものはどれか。
受信者の承諾なしに無差別に送付されるメールのこと
特定の目的の下にあらかじめ登録した参加者全員に同じメールを配信すること
メールの受信者が複数の相手に同一内容のメールの送信や転送を行い,受信者が増加し続けるメールのこと
メールの受信者が複数の相手に同一内容のメールの送信や転送を行い,受信者が増加し続けるメールのこと
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成21年秋期 問73
ボットの説明はどれか。
Webサイトの閲覧や画像のクリックだけで料金を請求する詐欺のこと
攻撃者がPCへの侵入後に利用するために,ログの消去やバックドアなどの攻撃ツールをパッケージ化して隠しておく仕組みのこと
多数のPCに感染して,ネットワークを通じた指示に従ってPCを不正に操作することで一斉攻撃などの動作を行うプログラムのこと
利用者の意図に反してインストールされ,利用者の個人情報やアクセス履歴などの情報を収集するプログラムのこと
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成21年春期 問68
サーバに対するDoS攻撃のねらいはどれか。
サーバ管理者の権限を奪取する。
サービスを妨害する。
データを改ざんする。
データを盗む。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
平成21年春期 問81
マクロウイルスに関する記述として,適切なものはどれか。
PCの画面上に広告を表示させる。
ネットワークで接続されたコンピュータ間を,自己複製しながら移動する。
ネットワークを介して,他人のPCを自由に操ったり,パスワードなど重要な情報を盗んだりする。
ワープロソフト表計算ソフトのデータファイルに感染する。
答え
分野 : テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる