情報セキュリティの脅威と聞くと、多くの人は今回学習する技術的脅威を思い浮かべるんじゃないっすかね。
技術的脅威ってコンピュータウイルスとか?
コンピュータウイルスもそうっすが、それ以外にもたくさんあるっすよ。技術的脅威はボリュームが非常に多いので、脅威の種類と対策をそれぞれ2回に分けてみていくことにするっすね。
マルウェア
マルウェアとは、悪意のあるソフトウェアの総称をいいます。コンピュータやネットワークに被害を与える目的で作成されたプログラムのことで、非常に多くの種類がありますが、ここではITパスポート試験で出題される主なものを紹介します。
コンピュータウイルス
他のプログラムやファイルに自動的に感染・複製し、意図しない動作や悪影響を引き起こす悪意あるプログラム(マルウェア)の一種です。
「マルウェア=コンピュータウィルス」と誤解している人が多いっすが、コンピュータウィルスはマルウェアの一種っすよ。
ワーム
ネットワークを介して自律的に拡散するマルウェアの一種です。ウイルスと似ていますが、他のプログラムに感染することなく、単独で活動・増殖するのが特徴です。
トロイの木馬
一見すると正当なソフトウェアやファイルに見せかけて、内部に悪意ある動作を仕込んだマルウェアの一種です。名前の由来は、ギリシャ神話の「トロイの木馬作戦」から来ています。敵にとって「安全そうに見えるもの」に見せかけて侵入し、内部から攻撃する点が共通しています。
RAT(Remote Access Trojan:リモートアクセス・トロイの木馬)
攻撃者が感染したコンピュータを遠隔操作できるようにするマルウェアです。その名の通り、「トロイの木馬型マルウェア」の一種で、ユーザーに気づかれないようにPCを乗っ取り、あたかも物理的にその場にいるかのように操作できます。
スパイウェア
ユーザーの同意なく個人情報や行動履歴などを密かに収集し、外部に送信するマルウェアの一種です。名前の通り、「スパイ」のようにユーザーの活動を監視します。
ランサムウェア
感染したコンピュータのファイルを暗号化したりシステムをロックしたりして使用不能にし、元に戻す代わりに「身代金(ランサム)」を要求するマルウェアです。
ランサムウェア攻撃などで、データを暗号化して身代金を要求し、支払わなければ漏えいさせると脅す手法を二重脅迫(ダブルエクストーション)といいます。
バックドア
正規の認証やセキュリティ手続きを無視して、コンピュータやネットワークに不正にアクセスできる仕組みや隠し入り口のことです。
| 種類 | 説明 |
|---|---|
| ボット | 感染した端末を外部の攻撃者の指令に従わせるプログラム。感染した端末は「ボットネット」というネットワークに組み込まれる。 |
| マクロウイルス | Microsoft Office などのマクロ機能を悪用し、文書ファイルを通じて感染・拡散するウイルス。 |
| キーロガー | キーボード入力を記録するマルウェア。パスワードや個人情報の窃取に使われる。 |
その他の技術的脅威
パスワード・認証に対する攻撃
辞書攻撃
あらかじめ用意した大量の単語や文字列(辞書)を使って、パスワードや暗号の解読を試みる攻撃手法です。予め用意された「辞書」(単語リストやよく使われるパスワード一覧)を1つずつ試して、パスワード認証を突破しようとします。
総当たり(ブルートフォース)攻撃
考えられるすべてのパスワードや暗号の組み合わせを片っ端から試して正解を見つける攻撃手法です。辞書攻撃と比べて時間はかかりますが、辞書にない複雑なパスワードも破れる可能性があります。
パスワードリスト攻撃(クレデンシャルスタッフィング)
過去に流出・盗まれた大量のユーザーIDとパスワードの組み合わせを使って、他のサービスのログインを試みる攻撃手法です。過去のデータ漏洩で入手したID・パスワードのリストを使い、別のサイトやサービスに同じ組み合わせでログインを試します。
多くの人が複数のサービスで同じパスワードを使い回しているため、この攻撃は成功しやすいといわれてるっすよ。
Webアプリケーションに対する攻撃
クロスサイトスクリプティング(XSS)
攻撃者が悪意のあるスクリプト(小さなプログラム)をWebページに埋め込み、他のユーザーのブラウザで実行させる攻撃手法です。Webサイトの入力フォームなどに、悪意あるスクリプトを含むデータを送信し、Webサイトが入力内容を適切に処理・無害化しない場合、そのスクリプトが他の利用者のブラウザで実行されます。
ドライブバイダウンロード
ユーザーが何も操作しなくても、悪意のあるウェブサイトを訪問しただけで自動的にマルウェアなどがダウンロード・インストールされてしまう攻撃手法です。
SQLインジェクション
Webアプリケーションの入力フォームやURLなどに、不正なSQL文を埋め込んでデータベースを不正操作する攻撃手法です。Webアプリがユーザーの入力値を適切に検証・無害化しない場合、攻撃者が入力欄にSQLの命令文を含む文字列を送信することで、意図しないSQL文がデータベースに送られ、情報の閲覧・改ざん・削除が可能になります。
| 攻撃手法 | 説明 |
|---|---|
| クロスサイトリクエストフォージェリ | ユーザーが意図しない操作を、ユーザーがログイン中のWebサイトに勝手に実行させる攻撃手法。 |
| クリックジャッキング | ユーザーが意図しないボタンやリンクをクリックさせるように、画面を偽装・重ね合わせて操作をだまし取る攻撃手法。 |
| ディレクトリトラバーサル | Webサーバーのファイルシステム上の本来アクセスできない上位のディレクトリやファイルに不正にアクセスする攻撃手法。 |
| バッファオーバーフロー攻撃 | プログラムが確保したメモリ領域(バッファ)よりも多くのデータを書き込み、隣接するメモリを上書きして不正な動作を引き起こす攻撃手法。 |
ネットワーク層に対する攻撃
DNSキャッシュポイズニング
DNSサーバーに偽の情報(不正なIPアドレス)を記憶させ、ユーザーを偽のWebサイトへ誘導する攻撃手法です。
- ユーザーが「www.example.com」にアクセスしようとすると、DNSサーバーがそのドメインのIPアドレスを調べます。
- 攻撃者は、このDNSサーバーに偽のドメイン情報(例:本来のIPではなく攻撃者のサーバーのIP)を送りつけ、キャッシュに保存させます。
- その後、同じドメインをアクセスした他のユーザーは、偽のIPアドレスが返されるため、攻撃者の用意した偽サイトに誘導されることになります。
中間者攻撃(Man-in-the-middle)
通信している当事者間に攻撃者が割り込み、通信内容を盗聴・改ざんする攻撃手法です。ユーザーとWebサイトが通信している最中に、攻撃者がその間に入り込み、やり取りされる情報を盗み見たり、改ざんして別の内容にすり替えたりできます。
IPスプーフィング
送信元IPアドレスを偽装して通信を行う攻撃手法で、主に信頼関係をIPアドレスで判断するシステムに対して有効な攻撃です。攻撃者が送信するパケットの送信元IPアドレスを、別の正規ユーザーのIPアドレスに偽装することで、受信者は「信頼できる送信元からの通信」と誤解して、攻撃者の要求に応じてしまうことがあります。
| 攻撃手法 | 説明 |
|---|---|
| MITB(Man-in-the-browser)攻撃 | ユーザーのブラウザ内部に感染したマルウェアが入り込み、Webブラウザ上の通信や操作を盗み見たり改ざんする攻撃手法。中間者攻撃(MITM)の一種ですが、攻撃対象が通信経路ではなく「ブラウザ内部」であることが特徴です。 |
| 第三者中継(オープンリレー) | 認証なしで誰でもメールを中継できるようになっているSMTP(メール送信)サーバーの設定ミスや脆弱性のこと。この状態を悪用されると、スパムメールやフィッシングメールの踏み台にされるおそれがあります。 |
| セッションハイジャック | ユーザーがログイン中のセッションを攻撃者が乗っ取って、正規ユーザーになりすます攻撃。Webサービスでログインすると、サーバーは「この人はログイン済み」と識別するために、セッションID(識別子) をブラウザに付与します。このセッションIDを盗むことで、攻撃者がそのユーザーになりすまします。 |
サービス妨害・リソース搾取
DoS攻撃・DDoS攻撃
サーバーやネットワークに過剰な負荷をかけ、正常なサービスを妨害する攻撃手法です。
DoS攻撃は1台の攻撃者のコンピュータから、大量のリクエストや不正なデータを送ることで、ターゲットのサービスをダウンさせる攻撃です。一方、DDoS攻撃は複数のコンピュータ(ボットネット)を使って、分散的にDoS攻撃を行う手法です。多くの場合、マルウェアに感染したPCやIoT機器が遠隔操作されて実行されます。
ITパスポート試験ではDoS攻撃とDDoS攻撃を区別させるような問題はでないので、この辺の区別は気にしなくても構いません。
クリプトジャッキング
他人のコンピュータやスマートフォンなどの端末リソース(CPUやGPU)を無断で使って暗号資産(仮想通貨)をマイニング(採掘)する攻撃手法です。
被害者の端末はマイニング作業に利用されるため、動作が重くなったり、バッテリーが急激に消耗したりしますが、通常は気づきにくいように設計されているのが特徴です。
暗号資産をマイニング(採掘)する理由は、報酬として仮想通貨を得られる仕組みになっているからです。仮想通貨の多くは、中央管理者が存在しない「分散型ネットワーク」で動いています。そのため、取引の正しさをチェックし、記録していく作業が必要です。この作業を行うのが「マイナー(採掘者)」であり、彼らはその報酬として仮想通貨を受け取ります。
標的型・社会工学的攻撃
標的型攻撃(APT:Advanced Persistent Threat)
特定の個人や組織(企業・政府機関など)を狙って、計画的かつ継続的に行われるサイバー攻撃のことです。攻撃者は機密情報の窃取や業務妨害などを目的とし、事前に綿密な調査を行った上で攻撃を実行します。
水飲み場型攻撃
攻撃対象(標的)がよく訪れるWebサイト(いわゆる「水飲み場」)を事前に特定し、そのサイトに不正なコードやマルウェアを仕込んで感染させる攻撃手法です。直接標的に攻撃メールを送るのではなく、信頼するサイトを介して感染させるため、不審感を抱きにくいという特徴があります。
フィッシング
インターネットを利用して、偽のウェブサイトやメールを使い、ユーザーから個人情報(ID・パスワード、クレジットカード番号など)を騙し取る詐欺行為のことです。「アカウントに問題があります」などの文言で偽サイトへ誘導する手法が多く、URLやデザインが本物そっくりで見分けにくいといった特徴があります。
| 攻撃手法 | 説明 |
|---|---|
| スミッシング | SMS(ショートメッセージサービス)を利用したフィッシング詐欺。「SMS」と「Phishing(フィッシング)」を組み合わせた造語です。スマートフォンのSMSに偽のメッセージを送信し、メッセージ内のURLをクリックさせることで偽のログインページに誘導し、ID・パスワード、クレジットカード番号などを入力させようとします。 |
| ワンクリック詐欺 | ユーザーがWebサイト上の画像やリンクなどを一度クリックするだけで、勝手に「有料会員登録された」と表示し、料金を請求してくる詐欺。 |
脆弱性の悪用
ゼロデイ攻撃
ソフトウェアやOSの「まだ修正されていない脆弱性(セキュリティの穴)」を悪用するサイバー攻撃のことです。攻撃者が未公開の脆弱性を発見または入手し、その脆弱性を悪用するマルウェアや攻撃コードを作成します。セキュリティパッチ(修正用のプログラム)がないため、防御できずに被害を受けてしまいます。
「ゼロデイ(0-Day)」とは、開発者やベンダーがその脆弱性の存在を認識してからの経過日数が「0日」であることを意味します。つまり、まだ修正プログラム(パッチ)が提供されていない状態です。
AIシステムに対する攻撃
プロンプトインジェクション攻撃
AI(主に大規模言語モデル)に与えられる命令文(プロンプト)に、不正な命令を紛れ込ませて意図しない動作をさせる攻撃のことです。
敵対的サンプル(Adversarial Examples)
AI(特に画像認識などの機械学習モデル)をだますために、意図的にごく小さなノイズを加えたデータのことです。人間には見分けがつかないような微細な変化を与えることで、AIに誤った判断をさせることを目的としています。
攻撃準備・偵察活動
フットプリンティング
攻撃対象となる組織やシステムの情報を事前に調べて収集する行為のことです。サイバー攻撃の準備段階で行われる情報収集活動の一つで、「フットプリント(足跡)」をたどるように、公開情報などから相手の構成・弱点を探ります。
ポートスキャン
ネットワーク上のコンピュータに対して、どの通信ポートが開いているかを調べる行為です。管理者の診断にも使われますが、攻撃者の事前調査(スキャニング)にも使われることがあります。
通信ポートとはコンピュータの「玄関口」にあたるものです。それぞれのアプリケーションは特定のポート番号を使って通信します(例:Web(HTTP)は80番ポート、メール(SMTP)は25番ポートなど)。
確認○×問題
ランサムウェアとは、PCのファイルを勝手に暗号化し、復号のためのキーを提供することなどを条件に金銭を要求するマルウェアである。
(出典:令和6年度春期分 問98一部改変)
答え:〇
記述の通りです。ランサムウェアは、ファイルを暗号化したり、システムをロックしたりして、解除のために身代金(ランサム)を要求するマルウェアです。
RATは、特定のPCから重要情報を不正に入手するといった標的型攻撃に利用され、攻撃対象のPCに対して遠隔から操作を行って、ファイルの送受信やコマンドなどを実行させるマルウェアである。
(出典:令和3年度春期分 問94一部改変)
答え:〇
記述の通りです。RATはトロイの木馬の一種で、攻撃者が感染した端末を遠隔操作できるようにするマルウェアです。
受信した電子メールに添付されていた文書ファイルを開いたところ、PCの挙動がおかしくなった。疑われる攻撃として、「SQLインジェクション」が考えられる。
(出典:令和2年度秋期分 問58一部改変)
答え:×
設問の状況はマクロウィルスによる攻撃が考えられます。マクロウイルスは、Microsoft Office などのマクロ機能を悪用し、文書ファイルを通じて感染・拡散するウイルスです。
なお、SQLインジェクションとは、SQL文の不正実行により情報を窃取・改ざんする攻撃手法です。WebサイトのフォームなどにSQL文を入力することにより、データベースシステムを不正に操作します。
あるWebサイトからIDとパスワードが漏えいし、そのWebサイトの利用者が別のWebサイトで、パスワードリスト攻撃の被害に遭ってしまった。このとき、Webサイトで使用していたIDとパスワードに関する問題点として、「短いパスワードを設定していた」ことが考えられる。
(出典:平成29年度春期分 問95一部改変)
答え:×
パスワードリスト攻撃(クレデンシャルスタッフィング)は、流出したID・パスワードの組を他サイトで試すことで、不正アクセスを試みる攻撃のことです。
たとえ、パスワードを長く複雑なものに設定したとしてもパスワードリスト攻撃を防ぐことはできません。設問の状況では、「別のサイトでも同じIDとパスワードを設定していた」ことが問題と考えられます。
Webサイトなどに不正なソフトウェアを潜ませておき、PCやスマートフォンなどのWebブラウザからこのサイトにアクセスしたとき、利用者が気付かないうちにWebブラウザなどの脆(ぜい)弱性を突いてマルウェアを送り込む攻撃をDDoS攻撃という。
(出典:令和5年度春期分 問58一部改変)
答え:×
設問の攻撃手法はドライブバイダウンロードです。ユーザーが何も操作しなくても、悪意のあるウェブサイトを訪問しただけで自動的にマルウェアなどがダウンロード・インストールされてしまう攻撃手法です。
DDoS攻撃とは、複数のコンピュータ(ボットネット)を使って、サーバーやネットワークに過剰な負荷をかけ、正常なサービスを妨害する攻撃手法です。
クロスサイトスクリプティングは、Webサイトの運営者が意図しないスクリプトを含むデータであっても,利用者のブラウザに送ってしまう脆弱性を利用する。
(出典:平成27年度春期分 問84一部改変)
答え:〇
記述の通りです。クロスサイトスクリプティング(XSS)は、Webサイトの運営者が意図していないスクリプト(たとえばJavaScript)が、Webページに埋め込まれてしまい、利用者のブラウザ上でそのスクリプトが実行される攻撃です。
入力フォームなどを通じて悪意のあるスクリプトが送信され、Webアプリケーション側でその入力内容を適切に無害化(サニタイズ)せずにHTMLにそのまま出力してしまう、といった脆弱性を利用します。
インターネットにおいてドメイン名とIPアドレスの対応付けを行うサービスを提供しているサーバに保管されている管理情報を書き換えることによって、利用者を偽のサイトへ誘導する攻撃をDNSキャッシュポイズニングという。
(出典:令和3年度春期分 問56一部改変)
答え:〇
記述の通りです。DNSキャッシュポイズニングは、DNSのキャッシュ情報を書き換え、偽サイトに誘導する攻撃手法です。
脆(ぜい)弱性のある IoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し、他の多数の IoT機器にマルウェア感染が拡大した。ある日のある時刻に、マルウェアに感染した多数の IoT機器が特定のWebサイトへ一斉に大量のアクセスを行い、Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はクリプトジャッキングである。
(出典:令和元年度秋期分 問100一部改変)
答え:×
設問の攻撃はDDoS攻撃です。
クリプトジャッキングとは、他人のコンピュータやスマートフォンなどの端末リソース(CPUやGPU)を無断で使って暗号資産(仮想通貨)をマイニング(採掘)する攻撃手法です。
金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得する行為をフィッシングと呼ぶ。
(出典:平成28年度春期分 問63一部改変)
答え:〇
記述の通りです。フィッシングとは、インターネットを利用して、偽のウェブサイトやメールを使い、ユーザーから個人情報(ID・パスワード、クレジットカード番号など)を騙し取る詐欺行為のことです。
ソフトウェアの脆弱性への対策が公開される前に、脆弱性を悪用する攻撃をゼロデイ攻撃という。
(出典:平成30年度春期分 問87一部改変)
答え:〇
記述の通りです。ゼロデイ攻撃は、ソフトウェアやOSの「まだ修正されていない脆弱性(セキュリティの穴)」を悪用するサイバー攻撃のことです。
AIに与える指示(プロンプト)の中に、攻撃者が仕込んだ命令や指示を注入することで、意図しない応答を引き出したり、機密情報を取得させたりする攻撃を水飲み場型攻撃という。
答え:×
設問の攻撃はプロンプトインジェクション攻撃です。
水飲み場型攻撃とは、攻撃対象(標的)がよく訪れるWebサイト(いわゆる「水飲み場」)を事前に特定し、そのサイトに不正なコードやマルウェアを仕込んで感染させる攻撃手法です。
ネットワーク上のホストに対して送信可能なポート番号を調べ、どのサービスが稼働しているかを調査する手法をポートスキャンと呼ぶ。
答え:〇
記述の通りです。ポートスキャンは、ネットワーク上のコンピュータに対して、どの通信ポートが開いているかを調べる行為です。管理者の診断にも使われますが、攻撃者の事前調査(スキャニング)にも使われることがあります。
