ITパスポート過去問集 - 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
ソーシャルエンジニアリングとは、秘密の情報や重要な情報、あるいはその手がかりを、それを知る本人や周辺者への接触や接近を通じて盗み取る手法の総称です。本人の使っていた装置を物理的に入手して読み取る手段も含まれるため、正解は「エ」です。

「ア」の暗号化は情報の盗み取りへの技術的な対策です。
「イ」の脆弱性を悪用した攻撃の防止は技術的な対策です。
「ウ」のマルウェア感染の防止は技術的な対策です。

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
Web上で公開されているサーバやコンテンツのうち、通常の方法では検索や閲覧を受け付けないようになっているものを「ダークウェブ」と言います。「エ」が正解です。

「ア」の「RSS」（RDF Site Summary）は、ブログやニュースサイトなどの更新情報を配信するためのデータ形式です。
「イ」の「SEO」（Search Engine Optimization）は、Webページが検索エンジンで検索したときになるべく上位に表示されるよう様々な工夫を行うことを指します。
「ウ」の「クロスサイトスクリプティング」は、利用者が入力した文字列がそのまま表示されるようなWebサイトで、攻撃者が悪意のあるスクリプトを仕込んで他の利用者のブラウザで実行させるような攻撃手法を指します。

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
ランサムウェアはマルウェアの一種で、感染したコンピュータのストレージを暗号化したり内容を盗み取るなどして、データの復元や盗んだデータの破棄のために「身代金」（ransom）を要求するものです。「イ」が正解です。

「ア」は「ルートキット」の説明です。
「ウ」は「MITB」（Man-In-The-Browser）の説明です。
「エ」は「ワーム」の説明です。

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
ドメイン名とIPアドレスを対応付けるDNSサーバに偽の情報を流し、正しいURLを指定したのに悪意のあるサイトへ誘導されてしまう攻撃手法を「DNSキャッシュポイズニング」と言います。「イ」が正解です。

「ア」の「DDoS攻撃」（Distributed Denial-of-Service）は、不正アクセスで乗っ取った多数の機器を組織化し、特定のサーバへ一斉にアクセスを発生させることで麻痺状態に追い込む攻撃です。
「ウ」のソーシャルエンジニアリングは、本人に物理的に接近してデスクの周りに貼られたパスワードのメモを盗み見るといった「社会的」な攻撃です。
「エ」の「ドライブバイダウンロード」は、Webサイトなどに不正なソフトウェアを隠しておき、閲覧者がアクセスすると気づかないうちに自動でダウンロードして実行する攻撃手法です。

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
Webサイトに不正なソフトウェアを仕込んでアクセスしたブラウザを通じて感染する手法は「ドライブバイダウンロード」と言います。「ウ」が正解です。

「ア」「DDoS攻撃」（Distributed Denial-of-Service）は、不正アクセスで乗っ取った多数の機器を組織化し、特定のサーバへ一斉にアクセスを発生させることで麻痺状態に追い込む攻撃です。
「イ」の「SQLインジェクション」は、データベースシステムのSQL文解釈の欠陥を悪用し、SQL文の断片を仕込んだ文字列を外部から入力して不正な動作を行わせる攻撃手法です。
「エ」の「フィッシング攻撃」は、大手企業や政府機関などのWebサイトや案内メールにそっくりな偽物を作り、利用者を騙して重要な情報を詐取する攻撃手法です。

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
攻撃者がシステムへの侵入後、遠隔操作できる環境を維持する秘密の窓口を設けることがあり、「裏口」を意味する「バックドア」と呼ばれます。「イ」が正解です。

「ア」の「盗聴」は送受信されるデータをこっそり盗み取ることを指します。
「ウ」の「フィッシング」は本物そっくりの偽のサイトやメールを用意して利用者を騙し、秘密の情報を盗み取る手口です。
「エ」の「ポートスキャン」は、システムと外部の接続窓口であるポート番号に片っ端から接続を試み、侵入に適した脆弱なソフトウェアなどが動作していないか調べる手口です。

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
Windowsなどには記憶媒体を認識すると特定のファイルを読み込んで指定のプログラムファイルを自動実行する機能があり、「オートラン」と呼ばれます。「エ」が正解です。これを悪用して感染プログラムを自動実行するマルウェアが流行したため、現在では無効に設定されているシステムが大半です。

「ア」の「オートコレクト」は文書編集ソフトなどの機能の一つで、入力した文字列の綴り間違いなどを自動検知して修正してくれる機能です。
「イ」の「オートコンプリート」はプログラミングに用いるコードエディタなどの機能の一つで、文字列を途中まで入力すると補完候補を提案してくれる機能です。
「ウ」の「オートフィルター」は表計算ソフトなどの機能の一つで、ワークシートの中から指定の条件に一致するデータのみを表示して、それ以外を表示しないようにする機能です。

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
攻撃対象の本人や周囲の人物、所属組織などに物理的に接近・接触し、画面に写っている情報や紙に書かれた情報を盗み見たり、会話を盗み聞きするなど、「社会的」な手法で重要な情報を入手する攻撃手法を「ソーシャルエンジニアリング」（social engineering）と言います。「イ」が正解です。

「ア」の「ゼロデイ攻撃」は、存在や対処法が公表されていない脆弱性を利用して無防備な対象を攻撃することを指します。
「ウ」の「ソーシャルメディア」は、個人による情報発信や個人間のコミュニケーション、人の結びつきを利用した情報流通などといった社会的な要素を含んだ情報媒体を指します。
「エ」の「トロイの木馬」は、一見有用なソフトウェアを装って利用者に入手や導入を促し、コンピュータに入り込んだら攻撃を開始するマルウェアです。

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
サイバーキルチェーンは、軍事分野で敵への攻撃行動を段階に分けてモデル化した「キルチェーン」をサイバー攻撃に応用した概念です。攻撃者が標的を攻撃する際に行う行為を段階に分けて整理しています。正解は「ア」です。

「イ」は「デイジーチェーン」の説明です。
「ウ」は「ブロックチェーン」の説明です。
「エ」は「チェーンメール」の説明です。

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
ソーシャルエンジニアリングは、標的の個人や組織に物理的に接近あるいは接触し、紙に書かれた重要な情報を盗み見たり、会話を盗み聞きするなど、技術的でないやり方で情報を盗み取る手法です。「イ」が正解です。

「ア」は「総当たり攻撃」（ブルートフォースアタック）の説明です。コンピュータで自動的に実行するためソーシャルエンジニアリングではありません。

「ウ」は「DoS攻撃」の説明です。コンピュータで自動的に実行するためソーシャルエンジニアリングではありません。

「エ」は「バッファオーバーフロー攻撃」の説明です。コンピュータプログラムの振る舞いを利用するもので、ソーシャルエンジニアリングではありません。

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
何らかの方法で入手したIDとパスワードのリストを用いて、標的のシステムに次々にログインを試みる攻撃を「パスワードリスト攻撃」と言います。同じIDとパスワードの組を使いまわしているユーザーは、標的サービスにセキュリティ上の問題がなくてもアカウントを乗っ取られてしまいます。「ウ」が正解です。

「ア」の「DoS攻撃」は大量のデータを標的に送りつけて麻痺状態に追い込む攻撃です。不正侵入のための手法ではありません。

「イ」の「SQLインジェクション」は入力データに基づいてデータベース操作を行うプログラムに対して、SQL断片を含む文字列を入力して不正な動作を引き起こす攻撃です。

「エ」の「フィッシング」は本物そっくりに似せた偽のWebサイトや案内メールを用意して標的を騙し、パスワードやクレジットカード番号など重要な情報を入力させる攻撃です。

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
IPアドレスとドメイン名の対応関係を管理するDNSサーバに偽の情報を流し、問い合わせてきた利用者が正しいドメイン名を入力しているのに偽サイトに誘導されてしまう攻撃を「DNSキャッシュポイズニング」と言います。「イ」が正解です。

「ア」の「DDoS攻撃」は、攻撃者が乗っ取った多数の機器を遠隔操作し、一斉に特定のサーバへアクセスを発生させて麻痺状態に追い込む攻撃です。

「ウ」の「SQLインジェクション」は、利用者の入力に基づいてデータベース操作を行うWebサイトなどに、SQLの断片を含む特殊な文字列を入力することで不正な操作を行わせる攻撃です。

「エ」の「フィッシング」は、本物そっくりに作られたWebサイトや案内メールで利用者を騙し、パスワードやクレジットカード番号など重要な情報を入力させて奪い取る攻撃です。

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
企業などの情報システム部門が存在を把握しておらず、利用部門や従業員が勝手に導入して使用しているIT機器やソフトウェア、ネットサービスなどを総称して「シャドーIT」と言います。

「ア」… 不適切。「遠隔地バックアップ」の説明です。会社のルールに従って行っているのでシャドーITではありません。

「イ」… 不適切。「ソーシャルエンジニアリング」の説明です。攻撃手法でありシャドーITではありません。

「ウ」… 不適切。「クリアスクリーン」の説明です。セキュリティ施策でありシャドーITではありません。

「エ」… 正解。会社側が把握していないオンラインストレージを利用して外部と大容量ファイルをやり取りするのはシャドーITの例です。

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
攻撃者が不正アクセスやマルウェアによって乗っ取りに成功したパソコンやサーバに、遠隔からの操作を受け付けるためのツールを導入することがあります。このようなツールを「RAT」（Remote Access Tool）と言います。「ア」が正解です。

「イ」の「VPN」（Virtual Private Network）は、広域回線網の中に暗号化された伝送経路を構築し、拠点間を結んで仮想的な構内ネットワークを構成したものを指します。

「ウ」の「デバイスドライバ」は、コンピュータに装着した部品や周辺機器を制御するためにOSに組み込まれるプログラムです。

「エ」の「ランサムウェア」は、マルウェアの一種で、感染したコンピュータのストレージを暗号化するなどして、解除のために攻撃者への身代金の支払いを要求するものです。

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
HTMLメールはWebページと同じように文字装飾や画像の埋め込み表示などを利用できますが、JavaScriptで動的な処理を実行できるため、悪意のあるスクリプトを実行させられてしまう危険性があります。「ウ」が正解です。

「ア」の「DoS攻撃」は、Webサイトに大量のアクセス要求を送りつけて麻痺状態に陥れる攻撃です。

「イ」の「SQLインジェクション」は、利用者からの入力を受け付けてデータベース操作を行うサーバで、SQL断片を仕込んだ特殊な文字列を入力して不正な動作を引き起こす攻撃です。

「エ」の「辞書攻撃」は、大量の単語やフレーズ、およびそれらの組み合わせをリスト化し、パスワード候補として入力してみる攻撃です。

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ
解説 ：
チェーンメールとは電子メールの迷惑行為の一つで、「不幸の手紙」のように、受信者に別の人への転送を促す文言が記載され、連鎖的に多数の人へ回覧されるメールのことです。

「a」 … 不適切。連絡や情報共有のためではなく一方的な要請が書かれています。

「b」… 適切。大量のメールが転送されると無駄な負荷が生じます。

「c」… 不適切。返信ではなく同じ内容を繰り返し転送します。

「d」… 適切。受信者に転送を促す文言が入っています。

「b」と「d」が当てはまるので「エ」が正解です。

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ア
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： ウ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： イ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ

答え ： エ
分野 ： テクノロジ系 › 技術要素 › セキュリティ › 情報セキュリティ