このページでは,基本情報技術者試験を中心に,セキュリティ(情報セキュリティ)分野の過去問題・サンプル問題・公開問題を掲載しています。CIA(機密性・完全性・可用性)や不正のトライアングル,マルウェア,各種攻撃手法など,試験で頻出となるテーマを問題形式で確認できます。解けなかった問題は,各問題下の【参考】リンクから対応する解説ページを読み,理解した上でもう一度解いてみてください。
平成28年度 基本情報技術者試験 秋期 午前 問37
平成26年度 基本情報技術者試験 春期 午前 問39
問 情報の “完全性” を脅かす攻撃はどれか。
ア Webページの改ざん
イ システム内に保管されているデータの不正コピー
ウ システムを過負荷状態にするDoS攻撃
エ 通信内容の盗聴
【解答】ア
【解説】
■ 完全性(Integrity)
情報や(情報を扱う)処理が,正確であり完全であることをいう。完全性を確保・維持するためには,情報や処理方法を間違わないようにしたり,データをチェックしたり,改ざんを防止したり発見したりする必要がある。
※ ハッシュ関数や,ディジタル署名を利用する
イ,エ 機密性を脅かす攻撃
ウ 可用性を脅かす攻撃
平成24年度 基本情報技術者試験 春期 午前 問43
問 図のようなサーバ構成の二重化によって期待する効果はどれか。
| ア 可用性の向上 | イ 完全性の向上 |
| ウ 機密性の向上 | エ 責任追跡性の向上 |
【解答】ア
【解説】
■ 可用性(Availability)
アクセス権限のある利用者が,認可された範囲内で,いつでも確実に,情報にアクセスできる状態のことをいう。可用性を確保・維持するためには,(システムを冗長化するなど)システムの信頼性を高めたり,システムの監視や保守を行うなどして,システムに障害が発生しないようにする。
ア サーバーを二重化された構成にすることにより可用性を高めることができる
平成30年度 基本情報技術者試験 春期 午前 問39
問 JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)において,“エンティティは,それが主張するとおりのものであるという特性” と定義されているものはどれか。
| ア 真正性 | イ 信頼性 | ウ 責任追跡性 | エ 否認防止 |
【解答】ア
【解説】
■ 真正性(Authenticity)
利用者や情報などの(身元の)正当性が,確実に確認できることをいう。利用者の場合,なりすましを防止するために,本人確認などを行う。
※ パスワードや,ディジタル署名などを利用する
平成30年度 基本情報技術者試験 秋期 午前 問39
問 JIS Q 27000:2014(情報セキュリティマネジメントシステム-用語)における真正性及び信頼性に対する定義a~dの組みのうち,適切なものはどれか。
〔定義〕
a 意図する行動と結果とが一貫しているという特性
b エンティティは,それが主張するとおりのものであるという特性
c 認可されたエンティティが要求したときに,アクセス及び使用が可能であるという特性
d 認可されていない個人,エンティティ又はプロセスに対して,情報を使用させず,また,開示しないという特性
| 真正性 | 信頼性 | |
| ア | a | c |
| イ | b | a |
| ウ | b | d |
| エ | d | a |
【解答】イ
【解説】
a 信頼性(Reliability)
b 真正性(Authenticity)
c 可用性(Availability)
d 機密性(Confidentiality)
平成31年度 基本情報技術者試験 春期 午前 問42
問 不正が発生する際には “不正のトライアングル” の3要素全てが存在すると考えられている。“不正のトライアングル” の構成要素の説明として,適切なものはどれか。
ア “機会” とは,情報システムなどの技術や物理的な環境,組織のルールなど,内部者による不正行為の実行を可能又は容易にする環境の存在である。
イ “情報と伝達” とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。
ウ “正当化” とは,ノルマによるプレッシャなどのことである。
エ “動機” とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。
【解答】ア
【解説】
■ 不正のメカニズム
不正のトライアングル理論とは,次の3つの不正リスクが揃ったときに不正行為が発生するとした理論である。
※ 米国の犯罪学者D.R.クレッシーが提唱した
- 機会…いつでも不正行為を実行できる環境にあること
例)1人の管理者に権限が集中しチェックが働かない場合など
- 動機…不正行為をするしかないと考えてしまう事情のこと
例)機密情報を売却して自分の借金を減らそうと考えることなど
- 正当化…不正行為を行うための自分勝手な理由のこと
例)会社が違法なことをしているので,自分もしてもよいと思うことなど
平成29年度 基本情報技術者試験 秋期 午前 問41
問 マルウェアについて,トロイの木馬とワームを比較したとき,ワームの特徴はどれか。
ア 勝手にファイルを暗号化して正常に読めなくする。
イ 単独のプログラムとして不正な動作を行う。
ウ 特定の条件になるまで活動をせずに待機する。
エ ネットワークやリムーバブルメディアを媒介として自ら感染を広げる。
【解答】エ
【解説】
■ ワーム
宿主となるプログラムやデータに感染するのではなく,単独で存在する悪意のあるプログラムである。自身のコピーを単独で行うことができ,次々に他のコンピューターに感染していく。
■ トロイの木馬
悪意のないプログラムと見せかけて実行を促し,(利用者などが実行すると)情報の漏洩や遠隔操作などの不正な動作をするソフトウェアである。自己伝染機能はない。
ウ トロイの木馬の特徴
平成28年度 基本情報技術者試験 春期 午前 問38
問 スパイウェアに該当するものはどれか。
ア Webサイトへの不正な入力を排除するために,Webサイトの入力フォームの入力データから,HTMLタグ,JavaScript,SQL文などを検出し,それらを他の文字列に置き換えるプログラム
イ サーバへの侵入口となり得る脆弱なポートを探すために,攻撃者のPCからサーバのTCPポートに順番にアクセスするプログラム
ウ 利用者の意図に反してPCにインストールされ,利用者の個人情報やアクセス履歴などの情報を収集するプログラム
エ 利用者のパスワードを調べるために,サーバにアクセスし,辞書に載っている単語を総当たりで試すプログラム
【解答】ウ
【解説】
■ スパイウェア
利用者の操作の監視・記録や利用者自身の情報を外部(スパイウェアの開発元など)に送信する悪意のあるソフトウェア。
ア サニタイジング(エスケープ処理)をするプログラム
イ ポートスキャナー
エ パスワードクラッキングツール
平成27年度 基本情報技術者試験 春期 午前 問37
問 キーロガーの悪用例はどれか。
ア 通信を行う2者間の経路上に割り込み,両者が交換する情報を収集し,改ざんする。
イ ネットバンキング利用時に,利用者が入力したパスワードを収集する。
ウ ブラウザでの動画閲覧時に,利用者の意図しない広告を勝手に表示する。
エ ブラウザの起動時に,利用者がインストールしていないツールバーを勝手に表示する。
【解答】イ
【解説】
■ キーロガー
コンピューターのキーボードの操作を監視・記録するソフトウェア。利用者の入力情報を盗むために使用される。
ア 中間者攻撃
平成29年度 基本情報技術者試験 秋期 午前 問36
問 ボットネットにおいてC&Cサーバが果たす役割はどれか。
ア 遠隔操作が可能なマルウェアに,情報収集及び攻撃活動を指示する。
イ 電子商取引事業者などに,偽のディジタル証明書の発行を命令する。
ウ 不正なWebコンテンツのテキスト,画像及びレイアウト情報を一元的に管理する。
エ 踏み台となる複数のサーバからの通信を制御し遮断する。
【解答】ア
【解説】
■ C&Cサーバー(Command and Control server)
ボットネットへ指示を出し,動作を制御するサーバー。
■ ボットネット
多数のボットで構成されるネットワーク。
※ ボット…ロボットの略称。人間の代わりに作業を実行するプログラムのこと
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃者の種類)」 |
(令和4年度) 基本情報技術者試験 サンプル問題 科目A 問31
平成30年度 基本情報技術者試験 秋期 午前 問41
問 ボットネットにおけるC&Cサーバの役割として,適切なものはどれか。
ア Webサイトのコンテンツをキャッシュし,本来のサーバに代わってコンテンツを利用者に配信することによって,ネットワークやサーバの負荷を軽減する。
イ 外部からインターネットを経由して社内ネットワークにアクセスする際に,CHAPなどのプロトコルを中継することによって,利用者認証時のパスワードの盗聴を防止する。
ウ 外部からインターネットを経由して社内ネットワークにアクセスする際に,時刻同期方式を採用したワンタイムパスワードを発行することによって,利用者認証時のパスワードの盗聴を防止する。
エ 侵入して乗っ取ったコンピュータに対して,他のコンピュータへの攻撃などの不正な操作をするよう,外部から命令を出したり応答を受け取ったりする。
【解答】エ
【解説】
■ C&Cサーバー(Command and Control server)
ボットネットへ指示を出し,動作を制御するサーバー。
■ ボットネット
多数のボットで構成されるネットワーク。
※ ボット…ロボットの略称。人間の代わりに作業を実行するプログラムのこと
イ、ウ 認証サーバーの役割
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃者の種類)」 |
平成28年度 基本情報技術者試験 秋期 午前 問41
問 サーバにバックドアを作り,サーバ内での侵入の痕跡を隠蔽するなどの機能をもつ不正なプログラムやツールのパッケージはどれか。
| ア RFID | イ rootkit | ウ TKIP | エ web beacon |
【解答】イ
【解説】
■ ルートキット(rootkit)
攻撃のために用いるツールを集めたパッケージをいう。
平成30年度 基本情報技術者試験 春期 午前 問37
問 攻撃者がシステムに侵入するときにポートスキャンを行う目的はどれか。
ア 後処理の段階において,システムログに攻撃の痕跡が残っていないかどうかを調査する。
イ 権限取得の段階において,権限を奪取できそうなアカウントがあるかどうかを調査する。
ウ 事前調査の段階において,攻撃できそうなサービスがあるかどうかを調査する。
エ 不正実行の段階において,攻撃者にとって有益な利用者情報があるかどうかを調査する。
【解答】ウ
【解説】
■ ポートスキャン
ホストに対して,開いているポートを順に1つずつ調べ,攻撃に使えそうな脆弱なポートがないかを調べる行為をいう。ポートスキャンが行われると,通常は,ログに,その記録が残る。
※ ポート番号…通信をするアプリケーションを識別するために使用する。インターネットで,よく使われるアプリケーションには決められたポート番号が割り当てられる(ウェルノウンポート番号)
※ ウェルノウンポート番号については,「TCP,UDP(トランスポート層)トランスポート層-ポート番号-ウェルノウンポート番号 -情報処理シンプルまとめ」参照
※ ホスト…コンピューターネットワークに接続されたIPアドレスを持つコンピューターのこと
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成29年度 基本情報技術者試験 春期 午前 問45
平成26年度 基本情報技術者試験 秋期 午前 問45
問 Webサーバの検査におけるポートスキャナの利用目的はどれか。
ア Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。
イ Webサーバの利用者IDの管理状況を運用者に確認して,情報セキュリティポリシからの逸脱がないことを調べる。
ウ Webサーバへのアクセス履歴を解析して,不正利用を検出する。
エ 正規の利用者IDでログインし,Webサーバのコンテンツを直接確認して,コンテンツの脆弱性を検出する。
【解答】ア
【解説】
■ ポートスキャン
ホストに対して,開いているポートを順に1つずつ調べ,攻撃に使えそうな脆弱なポートがないかを調べる行為をいう。ポートスキャンが行われると,通常は,ログに,その記録が残る。
※ ポート番号…通信をするアプリケーションを識別するために使用する。インターネットで,よく使われるアプリケーションには決められたポート番号が割り当てられる(ウェルノウンポート番号)
※ ウェルノウンポート番号については,「TCP,UDP(トランスポート層)トランスポート層-ポート番号-ウェルノウンポート番号 -情報処理シンプルまとめ」参照
※ ホスト…コンピューターネットワークに接続されたIPアドレスを持つコンピューターのこと
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成28年度 基本情報技術者試験 秋期 午前 問45
平成26年度 基本情報技術者試験 春期 午前 問44
問 PCへの侵入に成功したマルウェアがインターネット上の指令サーバと通信を行う場合に,宛先ポートとしてTCPポート番号80が多く使用される理由はどれか。
ア DNSのゾーン転送に使用されることから,通信がファイアウォールで許可されている可能性が高い。
イ WebサイトのHTTPS通信での閲覧に使用されることから,侵入検知システムで検知される可能性が低い。
ウ Webサイトの閲覧に使用されることから,通信がファイアウォールで許可されている可能性が高い。
エ ドメイン名の名前解決に使用されることから,侵入検知システムで検知される可能性が低い。
【解答】ウ
【解説】
ア DNSのゾーン転送:53(TCP)
イ HTTPS:443(TCP)
エ DNSの名前解決:53(UDP)
(令和4年度) 基本情報技術者試験 サンプル問題 科目A 問30
(類似)平成26年度 基本情報技術者試験 春期 午前 問41
問 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
| ア ソーシャルエンジニアリング | イ トロイの木馬 |
| ウ 踏み台攻撃 | エ ブルートフォース攻撃 |
【解答】ア
【解説】
■ ソーシャルエンジニアリング
システムの利用者や管理者から,社会的な手段(盗み聞きや盗み見など)により,パスワードや機密情報などを聞き出す行為をいう。
平成26年度 基本情報技術者試験 秋期 午前 問36
問 ソーシャルエンジニアリングに分類される手口はどれか。
ア ウイルス感染で自動作成されたバックドアからシステムに侵入する。
イ システム管理者などを装い,利用者に問い合わせてパスワードを取得する。
ウ 総当たり攻撃ツールを用いてパスワードを解析する。
エ バッファオーバフローなどのソフトウェアの脆弱性を利用してシステムに侵入する。
【解答】イ
【解説】
■ ソーシャルエンジニアリング
システムの利用者や管理者から,社会的な手段(盗み聞きや盗み見など)により,パスワードや機密情報などを聞き出す行為をいう。
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成27年度 基本情報技術者試験 秋期 午前 問39
問 標的型攻撃メールで利用されるソーシャルエンジニアリング手法に該当するものはどれか。
ア 件名に “未承諾広告※” と記述する。
イ 件名や本文に,受信者の業務に関係がありそうな内容を記述する。
ウ 支払う必要がない料金を振り込ませるために,債権回収会社などを装い無差別に送信する。
エ 偽のホームページにアクセスさせるために,金融機関などを装い無差別に送信する。
【解答】イ
【解説】
■ ソーシャルエンジニアリング
システムの利用者や管理者から,社会的な手段(盗み聞きや盗み見など)により,パスワードや機密情報などを聞き出す行為をいう。
ア スパムメール
ウ 架空請求
エ フィッシング詐欺
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成21年度 基本情報技術者試験 春期 午前 問42
問 Webビーコンに該当するものはどれか
ア PCとWebサーバ自体の両方に被害を及ぼす悪意のあるスクリプトによる不正な手口
イ Webサイトからダウンロードされ,PC上で画像ファイルを消去するウイルス
ウ Webサイトで用いるアプリケーションプログラムに潜在する誤り
エ Webページなどに小さい画像を埋め込み,利用者のアクセス動向などの情報を収集する仕組み
【解答】エ
【解説】
■ Webビーコンを利用した情報収集
Webビーコンとは,Webページに埋め込まれた目に見えない小さな画像ファイル(1×1ピクセルの透明な画像ファイルなど)を使用して,利用者のアクセス情報などを追跡する仕組みのことをいう。収集した情報を悪用し,標的型攻撃のターゲットを選定したりすることができる。
※ (Webページの読込み時に)画像ファイルが存在するサーバーにリクエストした際に,利用者のアクセス情報が送信される
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成25年度 基本情報技術者試験 春期 午前 問38
問 手順に示すセキュリティ攻撃はどれか。
〔手順〕
(1) 攻撃者が金融機関の偽のWebサイトを用意する。
(2) 金融機関の社員を装って,偽のWebサイトへ誘導するURLを本文中に含めた電子メールを送信する。
(3) 電子メールの受信者が,その電子メールを信用して本文中のURLをクリックすると,偽のWebサイトに誘導される。
(4) 偽のWebサイトと気付かずに認証情報を入力すると,その情報が攻撃者に渡る。
| ア DDoS攻撃 | イ フィッシング |
| ウ ボット | エ メールヘッダインジェクション |
【解答】イ
【解説】
■ フィッシング
信頼できる機関からのメールやWebサイトを装い,口座番号やクレジットカード番号,暗証番号などを詐取する行為をいう。
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成29年度 基本情報技術者試験 春期 午前 問38
問 共通鍵暗号の鍵を見つけ出そうとする,ブルートフォース攻撃に該当するものはどれか。
ア 一組みの平文と暗号文が与えられたとき,全ての鍵候補を一つずつ試して鍵を見つけ出す。
イ 平文と暗号文と鍵の関係を表す代数式を手掛かりにして鍵を見つけ出す。
ウ 平文の一部分の情報と,暗号文の一部分の情報との間の統計的相関を手掛かりにして鍵を見つけ出す。
エ 平文を一定量変化させたときの暗号文の変化から鍵を見つけ出す。
【解答】ア
【解説】
■ ブルートフォース攻撃(総当たり攻撃)
(パスワードに使用される可能性のある)あらゆる文字や数字,記号などの組み合わせを試して,パスワードを探し出す攻撃をいう。
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成27年度 基本情報技術者試験 秋期 午前 問37
問 暗号解読の手法のうち,ブルートフォース攻撃はどれか。
ア 与えられた1組の平文と暗号文に対し,総当たりで鍵を割り出す。
イ 暗号化関数の統計的な偏りを線形関数によって近似して解読する。
ウ 暗号化装置の動作を電磁波から解析することによって解読する。
エ 異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。
【解答】ア
【解説】
■ ブルートフォース攻撃(総当たり攻撃)
(パスワードに使用される可能性のある)あらゆる文字や数字,記号などの組み合わせを試して,パスワードを探し出す攻撃をいう。
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成30年度 基本情報技術者試験 秋期 午前 問37
問 AES-256で暗号化されていることが分かっている暗号文が与えられているとき,ブルートフォース攻撃で鍵と解読した平文を得るまでに必要な試行回数の最大値はどれか。
| ア 256 | イ 2128 | ウ 2255 | エ 2256 |
【解答】エ
【解説】
AES-256の鍵の長さは256ビットなので,解読した平文を得るまでに必要な試行回数の最大値は,
2256(回)
となる。
平成28年度 基本情報技術者試験 秋期 午前 問44
問 別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃はどれか。
| ア パスワードリスト攻撃 | イ ブルートフォース攻撃 |
| ウ リバースブルートフォース攻撃 | エ レインボー攻撃 |
【解答】ア
【解説】
■ パスワードリスト攻撃
別のサービスから流出したアカウント名(ID)とパスワードのリストを使用して,パスワードを探し出す攻撃をいう。
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成31年度 基本情報技術者試験 春期 午前 問37
問 パスワードリスト攻撃の手口に該当するものはどれか。
ア 辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。
イ パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。
ウ 複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。
エ よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。
【解答】ウ
【解説】
■ パスワードリスト攻撃
別のサービスから流出したアカウント名(ID)とパスワードのリストを使用して,パスワードを探し出す攻撃をいう。
ア 辞書攻撃
イ ブルートフォース攻撃(総当たり攻撃)
エ リバースブルートフォース攻撃(逆総当たり攻撃)
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成25年度 基本情報技術者試験 秋期 午前 問43
問 コンピュータ犯罪の手口の一つであるサラミ法はどれか。
ア 回線の一部にひそかにアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
イ ネットワークを介して送受信されているデータを不正に傍受する方法である。
ウ 不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。
エ プログラム実行後のコンピュータの内部又は周囲に残っている情報をひそかに探索して,必要情報を入手する方法である。
【解答】ウ
【解説】
■ サラミ法
大量のデータの中から端数処理で発生した金銭などを盗む攻撃をいう。
※ 不正行為が発覚しないよう少しずつ盗む
ア 不正アクセス
イ 盗聴
エ トラッシング(スキャベンジング)
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成26年度 基本情報技術者試験 春期 午前 問43
(類似)平成22年度 基本情報技術者試験 秋期 午前 問44
問 企業内ネットワークやサーバに侵入するために攻撃者が組み込むものはどれか。
| ア シンクライアントエージェント | イ ストリクトルーティング |
| ウ ディジタルフォレンジックス | エ バックドア |
【解答】エ
【解説】
■ バックドア
システムの利用者や管理者に気づかれないように仕掛けられた,認証が不要な裏口のことをいう。マルウェアなどで仕掛ける。
令和元年度 基本情報技術者試験 秋期 午前 問39
問 情報セキュリティにおいてバックドアに該当するものはどれか。
ア アクセスする際にパスワード認証などの正規の手続が必要なWebサイトに,当該手続を経ないでアクセス可能なURL
イ インターネットに公開されているサーバのTCPポートの中からアクティブになっているポートを探して,稼働中のサービスを特定するためのツール
ウ ネットワーク上の通信パケットを取得して通信内容を見るために設けられたスイッチのLANポート
エ プログラムが確保するメモリ領域に,領域の大きさを超える長さの文字列を入力してあふれさせ,ダウンさせる攻撃
【解答】ア
【解説】
■ バックドア
システムの利用者や管理者に気づかれないように仕掛けられた,認証が不要な裏口のことをいう。マルウェアなどで仕掛ける。
イ ポートスキャナー
ウ ミラーポート
エ バッファオーバーフロー攻撃
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成29年度 基本情報技術者試験 春期 午前 問37
(類似)平成26年度 基本情報技術者試験 秋期 午前 問44
(類似)平成24年度 基本情報技術者試験 春期 午前 問45
問 ディレクトリトラバーサル攻撃に該当するものはどれか。
ア 攻撃者が,Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し,管理者の意図していないSQL文を実行させる。
イ 攻撃者が,パス名を使ってファイルを指定し,管理者の意図していないファイルを不正に閲覧する。
ウ 攻撃者が,利用者をWebサイトに誘導した上で,WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し,利用者のWebブラウザで悪意のあるスクリプトを実行させる。
エ セッションIDによってセッションが管理されるとき,攻撃者がログイン中の利用者のセッションIDを不正に取得し,その利用者になりすましてサーバにアクセスする。
【解答】イ
【解説】
■ ディレクトリトラバーサル
Webサイトのパス名(Webサーバー内のディレクトリーやファイル名)に,通常はアクセスが禁止されているファイルを指定して,不正にアクセスする方法をいう。
ア SQLインジェクション
ウ クロスサイトスクリプティング
エ セッションハイジャック
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成30年度 基本情報技術者試験 春期 午前 問36
問 ドライブバイダウンロード攻撃に該当するものはどれか。
ア PC内のマルウェアを遠隔操作して,PCのハードディスクドライブを丸ごと暗号化する。
イ 外部ネットワークからファイアウォールの設定の誤りを突いて侵入し,内部ネットワークにあるサーバのシステムドライブにルートキットを仕掛ける。
ウ 公開Webサイトにおいて,スクリプトをWebページ中の入力フィールドに入力し,Webサーバがアクセスするデータベース内のデータを不正にダウンロードする。
エ 利用者が公開Webサイトを閲覧したときに,その利用者の意図にかかわらず,PCにマルウェアをダウンロードさせて感染させる。
【解答】エ
【解説】
■ ドライブバイダウンロード
マルウェアが隠されたWebサイトを,利用者が閲覧した際に,利用者に気づかれないように,マルウェアを自動的にダウンロードさせる攻撃をいう。
ウ SQLインジェクション
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
令和5年度 基本情報技術者試験 公開問題 科目A 問9
問 ドライブバイダウンロード攻撃に該当するものはどれか。
ア PCから物理的にハードディスクドライブを盗み出し,その中のデータをWebサイトで公開し,ダウンロードさせる。
イ 電子メールの添付ファイルを開かせて,マルウェアに感染したPCのハードディスクドライブ内のファイルを暗号化し,元に戻すための鍵を攻撃者のサーバからダウンロードさせることと引換えに金銭を要求する。
ウ 利用者が悪意のあるWebサイトにアクセスしたときに,Webブラウザの脆弱性を悪用して利用者のPCをマルウェアに感染させる。
エ 利用者に気付かれないように無償配布のソフトウェアに不正プログラムを混在させておき,利用者の操作によってPCにダウンロードさせ,インストールさせることでハードディスクドライブから個人情報を収集して攻撃者のサーバに送信する。
【解答】ウ
【解説】
■ ドライブバイダウンロード
マルウェアが隠されたWebサイトを,利用者が閲覧した際に,利用者に気づかれないように,マルウェアを自動的にダウンロードさせる攻撃をいう。
ア 窃盗
イ ランサムウェア
エ トロイの木馬
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成29年度 基本情報技術者試験 秋期 午前 問39
平成27年度 基本情報技術者試験 春期 午前 問42
平成24年度 基本情報技術者試験 秋期 午前 問40
問 SQLインジェクション攻撃の説明はどれか。
ア Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文をWebサイトに入力して,データベースのデータを不正に取得したり改ざんしたりする攻撃
イ 悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて,別のWebサイトで,その訪問者が意図しない操作を行わせる攻撃
ウ 市販されているDBMSの脆弱性を悪用することによって,宿主となるデータベースサーバを探して感染を繰り返し,インターネットのトラフィックを急増させる攻撃
エ 訪問者の入力データをそのまま画面に表示するWebサイトを悪用して,悪意のあるスクリプトを訪問者のWebブラウザで実行させる攻撃
【解答】ア
【解説】
■ SQLインジェクション
Webアプリケーションの入力フォームなどに不正なSQL文を入力して想定外のSQL文を実行させることにより,通常はアクセスが禁止されているデータにアクセスしたり,改ざんしたりする攻撃をいう。
イ クロスサイトリクエストフォージェリ(CSRF)
エ クロスサイトスクリプティング
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成28年度 基本情報技術者試験 春期 午前 問37
問 SQLインジェクション攻撃の説明として,適切なものはどれか。
ア Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除をする攻撃
イ Webサイトに対して,他のサイトを介して大量のパケットを送り付け,そのネットワークトラフィックを異常に高めてサービスを提供不能にする攻撃
ウ 確保されているメモリ空間の下限又は上限を超えてデータの書込みと読出しを行うことによって,プログラムを異常終了させたりデータエリアに挿入された不正なコードを実行させたりする攻撃
エ 攻撃者が罠を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに,不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす攻撃
【解答】ア
【解説】
■ SQLインジェクション
Webアプリケーションの入力フォームなどに不正なSQL文を入力して想定外のSQL文を実行させることにより,通常はアクセスが禁止されているデータにアクセスしたり,改ざんしたりする攻撃をいう。
イ DoS攻撃(Denial of Service Attack;サービス妨害攻撃)
ウ バッファオーバーフロー攻撃
エ クロスサイトスクリプティング
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成30年度 基本情報技術者試験 秋期 午前 問45
問 自社の中継用メールサーバで,接続元IPアドレス,電子メールの送信者のメールアドレスのドメイン名,及び電子メールの受信者のメールアドレスのドメイン名から成るログを取得するとき,外部ネットワークからの第三者中継と判断できるログはどれか。ここで,AAA.168.1.5 と AAA.168.1.10 は自社のグローバルIPアドレスとし,BBB.45.67.89 と BBB.45.67.90 は社外のグローバルIPアドレスとする。a.b.c は自社のドメイン名とし,a.b.d と a.b.e は他社のドメイン名とする。また,IPアドレスとドメイン名は詐称されていないものとする。
接続元IPアドレス | 電子メールの送信者の | 電子メールの受信者の | |
| ア | AAA.168.1.5 | a.b.c | a.b.d |
| イ | AAA.168.1.10 | a.b.c | a.b.c |
| ウ | BBB.45.67.89 | a.b.d | a.b.e |
| エ | BBB.45.67.90 | a.b.d | a.b.c |
【解答】ウ
【解説】
■ 第三者中継(オープンリレー)
特に制限することなく誰でもメールを自由に送信できるように開放している(オープンリレー設定)メールサーバーを,攻撃者が,迷惑メールやコンピューターウイルスを送る中継地点(踏み台)などとして利用することをいう。
ウ 送信者,受信者とも他社なので,第三者中継していることが分かる
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
平成29年度 基本情報技術者試験 秋期 午前 問37
平成24年度 基本情報技術者試験 秋期 午前 問37
問 DNSキャッシュポイズニングに分類される攻撃内容はどれか。
ア DNSサーバのソフトウェアのバージョン情報を入手して,DNSサーバのセキュリティホールを特定する。
イ PCが参照するDNSサーバに偽のドメイン情報を注入して,利用者を偽装されたサーバに誘導する。
ウ 攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
エ 内部情報を入手するために,DNSサーバが保存するゾーン情報をまとめて転送させる。
【解答】イ
【解説】
■ DNSキャッシュポイズニング攻撃
(利用者からのドメイン名の問い合わせなどを受け付ける)DNSサーバーのキャッシュに不正な情報を書き込むことで,攻撃者の用意したWebサイトへ誘導したりする攻撃をいう。
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
令和元年度 基本情報技術者試験 秋期 午前 問35
平成29年度 基本情報技術者試験 春期 午前 問36
問 攻撃者が用意したサーバXのIPアドレスが,A社WebサーバのFQDNに対応するIPアドレスとして,B社DNSキャッシュサーバに記憶された。これによって,意図せずサーバXに誘導されてしまう利用者はどれか。ここで,A社,B社の各従業員は自社のDNSキャッシュサーバを利用して名前解決を行う。
ア A社WebサーバにアクセスしようとするA社従業員
イ A社WebサーバにアクセスしようとするB社従業員
ウ B社WebサーバにアクセスしようとするA社従業員
エ B社WebサーバにアクセスしようとするB社従業員
【解答】イ
【解説】
■ DNSキャッシュポイズニング攻撃
(利用者からのドメイン名の問い合わせなどを受け付ける)DNSサーバーのキャッシュに不正な情報を書き込むことで,攻撃者の用意したWebサイトへ誘導したりする攻撃をいう。
イ B社のキャッシュサーバに,A社WebサーバのFQDN(実際には,サーバXのIPアドレス)が記憶されている。⇒ B社従業員がA社Webサーバにアクセスする際には,B社のキャッシュサーバを利用するので,意図せずサーバXに誘導されてしまう。
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
令和元年度 基本情報技術者試験 秋期 午前 問41
平成28年度 基本情報技術者試験 春期 午前 問36
問 検索サイトの検索結果の上位に悪意のあるサイトが表示されるように細工する攻撃の名称はどれか。
| ア DNSキャッシュポイズニング | イ SEOポイズニング |
| ウ クロスサイトスクリプティング | エ ソーシャルエンジニアリング |
【解答】イ
【解説】
■ SEOポイズニング攻撃
攻撃者がSEO対策を行い(悪用し)作成した不正なWebページを,検索エンジンの検索結果の上位に表示させ,利用者を誘導する攻撃をいいます。
※ SEO(Search Engine Optimization;検索エンジン最適化)対策… 作成したWebページを検索エンジンの上位に表示させるように構成や記述などを調整する対策。Webページへのアクセス数を増やすために行う
| 【参考】 | 「情報セキュリティの基礎まとめ(攻撃手法の種類)」 |
まとめ
今回は,基本情報技術者試験の過去問題・サンプル問題・公開問題のうち,セキュリティ(情報セキュリティ)分野に関するものを集め,シンプルにまとめてみました。みなさんは,どのくらい解けましたか?はじめは難しく感じるかもしれませんが,繰り返し問題を解くことで,少しずつ理解できるようになると思います。8割以上(できれば9割以上)解けるようになることを目標に,ぜひ取り組んでみてください。また,一度解けるようになっても,時間が経つと忘れてしまうことがあります。1週間後や1か月後など,期間をあけてもう一度解き直すことで,理解の定着につながると思います。
