セキュリティ

サイバー攻撃手法の予想問題・解説

情報セキュリティマネジメント試験(SG)の「サイバー攻撃手法」分野のオリジナル予想問題を7問、正解と解説つきで無料公開しています。登録なしで読めます。

※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。

この分野について

攻撃者の代表的な手口を、狙いと仕組みでセットに理解する分野です。対策(後続分野)の“なぜ”がここで分かります。

攻撃は大きく、人をだます系(フィッシング・標的型メール・ソーシャルエンジニアリング)、システムの穴を突く系(SQLインジェクション・クロスサイトスクリプティング=XSS・クロスサイトリクエストフォージェリ=CSRF)、認証を破る系(辞書攻撃・総当たり・パスワードリスト攻撃)、可用性を奪う系(DoS・DDoS)に整理できます。

SGでは「この手口はどれか」「この対策が有効なのはどの攻撃か」を結びつける問題が中心です。たとえばSQLインジェクションにはプレースホルダ、XSSには出力のエスケープ、というように“攻撃と対策の対応”で覚えると得点しやすくなります。

押さえておきたい用語

標的型攻撃
特定の組織を狙い、業務メールなどを装って侵入する攻撃。
フィッシング
偽サイト・偽メールで認証情報などをだまし取る手口。
SQLインジェクション
入力値でDBへの命令を改ざんする攻撃。プレースホルダで防ぐ。
クロスサイトスクリプティング(XSS)
他人のブラウザで不正スクリプトを実行させる攻撃。
DoS / DDoS
大量アクセスでサービスを停止させ、可用性を奪う攻撃。
ソーシャルエンジニアリング
技術でなく人の心理や隙を突いて情報を得る手口。

学習のポイント

  • 「攻撃名 ↔ 有効な対策」の対応で覚えると強い。
  • 似た名前(XSSとCSRF、SPFとDKIM等)の混同を狙う問題に注意。

予想問題と解説(7問)

  1. 科目A・単一選択

    利用者が認証済みのWebアプリケーションに対し,利用者の意図しない操作を強制的に実行させる攻撃はどれか。

    • クロスサイトスクリプティング(XSS)
    • SQLインジェクション
    • クロスサイトリクエストフォージェリ(CSRF) 正解
    • ディレクトリトラバーサル
    解説

    正解ウ。CSRFはログイン状態(セッション)を悪用し,利用者の意図しないリクエストを実行させる。対策はトークンの埋め込みなど。XSSはスクリプト実行,SQLiはDB操作,トラバーサルはパス操作。

  2. 科目A・単一選択

    特定の組織や個人を狙い,業務内容や取引先を装って巧妙に作り込んだメールで認証情報などを盗む攻撃はどれか。

    • 総当たり攻撃
    • ポートスキャン
    • 標的型攻撃(スピアフィッシング) 正解
    • SQLインジェクション
    解説

    正解ウ。標的型攻撃は特定の標的に合わせて文面を作り込む。不特定多数に送るのは通常のフィッシング。

  3. 科目A・単一選択

    多数の機器から大量の通信を一斉に送りつけ,標的のサーバやネットワークを過負荷で停止させる攻撃はどれか。

    • フィッシング
    • クロスサイトスクリプティング
    • リプレイ攻撃
    • DDoS攻撃 正解
    解説

    正解エ。DDoS攻撃は分散した多数の機器(ボットネット等)から大量アクセスを行い,可用性を奪う。

  4. 科目B・単一選択

    Bさんが取るべき対応として最も適切なものはどれか。

    • 添付ファイルを開かず,正規の連絡先(電話など)で取引先に事実を確認し,情報システム部に報告する 正解
    • 急ぎなので添付ファイルをすぐに開いて内容を確認する
    • 届いたメールに返信して,本物かどうかを送信元に問い合わせる
    • 念のため自分のPCだけで添付ファイルを開いて確認する
    解説

    正解ア。ドメインが1文字違い・不審な添付=なりすまし(標的型/BEC)の疑い。添付は開かず,メールへの返信ではなく既知の正規連絡先で確認し,速やかに報告するのが正しい初動。返信先も攻撃者の可能性がある。

  5. 科目A・単一選択

    正規のソフトウェア更新サーバや配布経路に攻撃者が侵入し,正規の製品に不正なコードを混入させて利用者に配布させる攻撃はどれか。

    • サプライチェーン攻撃 正解
    • ゼロデイ攻撃
    • ブルートフォース攻撃
    • リプレイ攻撃
    解説

    正解ア。製品・サービスの供給網(開発・配布経路や委託先)の弱点を突いて正規ルートに不正を混入させるのがサプライチェーン攻撃。ゼロデイは未修正脆弱性の悪用,ブルートフォースは総当たり,リプレイは盗んだ通信の再送。

  6. 科目A・単一選択

    利用者をだまして偽サイトへ誘導するフィッシングのうち,DNSの情報を書き換えるなどして正しいURLを入力しても偽サイトへ誘導する手口はどれか。

    • スミッシング
    • ファーミング 正解
    • クリックジャッキング
    • タイポスクワッティング
    解説

    正解イ。ファーミングはDNSやhostsファイルを改ざんし,正しいURL入力でも偽サイトへ誘導する。スミッシングはSMSを使うフィッシング,クリックジャッキングは透明な要素で誤クリックを誘う手口,タイポスクワッティングは打ち間違いドメインを悪用する手口。

  7. 科目A・単一選択

    電子メールの送信ドメイン認証技術であり,送信元メールサーバのIPアドレスがそのドメインの正規送信元として登録されているかをDNSで検証するものはどれか。

    • SPF 正解
    • S/MIME
    • SSH
    • SNMP
    解説

    正解ア。SPF(Sender Policy Framework)は,ドメインの正規送信メールサーバのIPアドレスをDNSに公開し,受信側が照合してなりすましを検出する。S/MIMEはメールの暗号化・署名,SSHは暗号化リモート接続,SNMPは機器監視のプロトコル。

続きを解いて実力チェック 無料登録で練習モード・本番モード・弱点分析が使えます →