基本情報技術者試験とは...
IPAが開催する試験で、今となってはITエンジニアの登竜門的な位置づけになっている資格です。
ITパスポートの上位にあたる資格になっています。
情報セキュリティ分野
基本情報技術者試験の中で出題頻度が高い分野で、科目Aだけでなく科目Bにも頻出のジャンルとなっています。
今回はその中でも情報セキュリティの脅威に関する用語をまとめてみました。
最近の試験で比較的出題率が高いものを並べますが、すべてをカバーするものではありませんので、そこはご容赦ください。
人的脅威に関するもの
- 1. ソーシャルエンジニアリング
- 人間の心理的な隙を利用して機密情報を手に入れようとすること。
本来は「社会工学」という意味の言葉ではあるが、セキュリティに対する人的脅威として皮肉を込めて真逆の意味で使用されているようです。 - 2. 不正のトライアングル
- 人的脅威に関する理論で、人が不正を働くのは「機会」「動機」「正当化」の3つの要素が揃ったときである、としています。
この理論を不正のトライアングルと表現しているようです。 - 3. ポートスキャン
- サーバ上で動いているアプリケーションソフトウェアを調査するための技術で、サーバが持つポート番号に順番にアクセスして攻撃可能なサービスがあるかを事前調査する目的で行われます。
正当な管理目的で利用するものでもあり、攻撃にも使えるものでもあります。 - 4. セキュリティホール
- システムの脆弱性。穴(ホール)という意味です。
- 5. ブルートフォース攻撃
- 「総当たり攻撃」とも呼ばれます。
パスワードとして考えられる文字列の組み合わせを全て実行してパスワードを割り出そうとする攻撃です。 - 6. 辞書攻撃
- 辞書に載っている単語を使ってパスワードを割り出す攻撃。
辞書に載っている単語をパスワードに設定している人が多いことを利用しています。 - 7. パスワードリスト攻撃
- ほかのサービスから入手したIDとパスワードの組み合わせを使ってユーザ認証をしようとすることです。
パスワードを忘れないために複数のサービスで同じパスワードを設定している人が多いことを利用しています。
「顧客情報の流出」といった不祥事がダイレクトに影響する攻撃です。 - 8. マルウェア
- 悪意のあるソフトウェアの総称で、「ボット」「スパイウェア」「バックドア」「コンピュータウイルス」などのことです。
簡単に複製できるため広範囲に攻撃することもできる、非常に厄介なものです。 - 10. ボット(bot)
- 攻撃者が遠隔で指令を出して動作させるプログラムです。
ボットに感染されたPCは攻撃者から遠隔で操作されてしまうこともあります。
「ボット」というキーワードはX(旧Twitter)などのSNSでも頻繁に見かけたりしますよね。 - 11. スパイウェア
- ユーザに気付かれないように個人情報などを収集するプログラムです。スパイの働きをするソフトウェア、という意味です。
- 12. ランサムウェア
- PCやファイル、データを勝手に暗号化して使用不能にするマルウェアです。
この暗号化を解くために金銭を要求してきます。 - 13. キーロガー
- キーボード入力を記憶するプログラム。
本来キーロガーはソフトウェアの動作確認に使われるものですが、攻撃者が悪用することがあります。
キーボードでユーザが入力した操作を記録してパスワードを収集したりします。 - 14. バックドア
- システムに不正アクセスするための「裏口」のことです。
ユーザ認証が必要なWebサイトに不正に侵入するために設置するURLのことを言います。 - 15. フィッシング
- Webサイトの利用者を偽物のサイトに誘導して個人情報を入力させて取得しようとする不正な攻撃です。
偽物のサイトのURLを記載したメールを送り付けてアクセスさせたりします。
クレジットカード番号と暗証番号を入力させて不正利用に繋げるようなことも多く発生しています。 - 16. ドライブバイダウンロード
- ユーザが悪意のあるWebサイトにアクセスしただけでマルウェアがダウンロードされてしまう攻撃です。
- 17. SEOポイズニング
- 検索エンジンの上位に悪意のあるWebサイトを表示させるようにすることです。
「SEO」というのは検索エンジンの検索結果の上位にサイトが表示されるように行う工夫や設定のことで、「ポイズニング」は毒を盛るという意味です。
当然のことですが検索エンジンの検索結果の上位にあるページはアクセスされやすくなるため、ユーザが悪意のあるサイトに誘導されやすくなってしまいます。 - 18. DNSキャッシュポイズニング
- DNSとはドメイン名とそれに対応するIPアドレスを相互に変換する仕組みです。
この攻撃はDNSサーバにキャッシュされているドメインとIPアドレスの対応を書き換えて偽物のサイトにユーザを誘導することを目的としています。 - 19. SQLインジェクション攻撃
- Webアプリケーション上で不正なSQL文を実行することでデータベースを改ざんしたり、データを盗んだりする攻撃です。
プレースホルダを利用したりエスケープ処理をしたり、WAFを導入したりといった対策をする必要があります。 - 20. クロスサイトスクリプティング
- Webページにユーザの入力データをそのまま表示するフォームがあった場合、そこに悪意のあるスクリプトを埋め込んでcookie等のデータを盗もうとする攻撃の事です。
- 21. スパム
- 受信者の承諾なしに無差別に送付される電子メールの事をスパムと言います。
迷惑メールもスパムに含まれます。 - 22. Dos攻撃
- Webサーバに大量のリクエストを送り付けたり、大量の電子メールを送り付けることでネットサービスをダウンさせようとする攻撃です。
- 23. ディレクトリトラバーサル攻撃
- Webサイトのパス名を使ってファイルを指定し、公開していないファイルを不正に閲覧する攻撃です。
例えばユーザのパスワードを記載しているファイルが公開されていないディレクトリに置いてあった場合に、この攻撃で不正に閲覧されてしまう危険があります。 - 24. 物理的脅威
- 人的脅威や技術的な脅威とは違い、直接的な手段で引き起こされる脅威のことを物理的脅威とよびます。
侵入されて端末を盗難されたり破壊されたりといったもの以外にも、水害、落雷、家事、地震などの自然災害も物理的脅威にあたります。
技術的脅威に関するもの
物理的脅威とよばれるもの
以上となります。
ここに挙げられなかった脅威もまだまだあります。
たくさんあって混乱してしまいがちですが、これらの用語の意味と背景を把握して「試験対策の暗記」としてではなく「業務にも活かせる知識」として身に着けたいですね。
是非学習の参考にしてください!