この記事は約23分で読めます。
筆者プロフィール: ソフトウェアエンジニア。「知った気にならない。いつまでも学び続ける」を信条に、業務と個人開発の両輪で技術を磨いています。AI 駆動開発で複数の個人開発アプリを構築・運用中。
👉 ポートフォリオ: 筆者ホームページ
生成AIに「中学生にもわかりやすいように解説して!」と頼んだら、とても読みやすい記事ができました。情報処理安全確保支援士試験の不正解・未回答の問題を、やさしい解説付きでまとめています。
学習の背景
2026年秋の 情報処理安全確保支援士 試験合格を目指して、現在学習中です。本記事は、学習過程で遭遇した過去問の中から、つまずいた問題・未回答だった問題を整理し、生成AIに「中学生にもわかりやすく」解説してもらった内容をまとめたものです。
学習全体の進め方・学習記録・他分野の解説記事は、以下のまとめ記事で随時更新しています。
問1: 平成21年秋期 問5(セキュリティ)
問題文: 企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共用している。このDNSサーバが,DNSキャッシュポイズニングの被害を受けた結果,引き起こされ得る現象はどれか。
選択肢:
- ア: DNSサーバで設定された自社の公開WebサーバのFQDN情報が書き換えられ,外部からの参照者が,本来とは異なるWebサーバに誘導される。
- イ: DNSサーバのメモリ上にワームが常駐し,DNS参照元に対して不正プログラムを送り込む。
- ウ: 社内の利用者が,インターネット上の特定のWebサーバを参照する場合に,本来とは異なるWebサーバに誘導される。
- エ: 電子メールの不正中継対策をした自社のメールサーバが,不正中継の踏み台にされる。
正解: ウ
やさしい解説:
まず用語を説明します:
- DMZ(非武装地帯):社内ネットワークとインターネットの間にある「中間エリア」。外部に公開するサーバを置く場所です。
- DNSサーバ:「このWebサイト名のアドレスはどこ?」という問い合わせに答えるサーバ(インターネットの電話帳)。
- キャッシュ:一度調べた結果を一時的に覚えておくこと。
- ポイズニング(毒を盛る):キャッシュに嘘の情報を混ぜること。
DNSキャッシュポイズニングとは、DNSサーバの「記憶」に嘘の情報を書き込む攻撃です。たとえると、電話帳の「銀行の電話番号」を詐欺師の電話番号にこっそり書き換えるようなものです。
正解のウが正しい理由:キャッシュポイズニングで書き換えられるのは「キャッシュ(一時記憶)」の情報です。社内の人がインターネット上のサイトにアクセスしようとすると、DNSサーバの汚染されたキャッシュを参照して、偽のサイトに誘導されてしまいます。
アが間違いなのは、キャッシュポイズニングは「キャッシュ」を書き換えるだけで、DNSサーバの設定情報(ゾーン情報)自体は書き換えません。
問2: 平成27年秋期 問16(セキュリティ)
問題文: ダウンローダ型マルウェアが内部ネットワークのPCに感染したとき,そのマルウェアによってインターネット経由で他のマルウェアがダウンロードされることを防ぐ対策として,最も有効なものはどれか。
選択肢:
- ア: URLフィルターを用いてインターネット上の危険なWebサイトへの接続を遮断する。
- イ: インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
- ウ: スパムメール対策サーバでインターネットからのスパムメールを拒否する。
- エ: メールフィルターで他サイトへの不正メール発信を遮断する。
正解: ア
やさしい解説:
ダウンローダ型マルウェアとは、PCに感染した後、インターネットから追加の悪いプログラムをダウンロード(取り込む)するタイプのウイルスです。
たとえると「泥棒が家に侵入した後、仲間を呼び寄せるために外に電話をかける」ようなものです。
この対策として最も有効なのはURLフィルター(ア)です。URLフィルターは「このWebサイトは危険だからアクセス禁止」というリストを使って、危険なサイトへの接続をブロックします。マルウェアがダウンロード先のサイトに接続しようとしても、フィルターがそれを止めます。
他の選択肢が効果的でない理由:
- イ:IPSは「外から中への不正侵入」を防ぎますが、ダウンローダは「中から外へ接続」するので方向が逆です。
- ウ:スパムメール対策はメールの話で、Webサイトからのダウンロードは防げません。
- エ:メールフィルターもメールの話で、Webサイトへの接続は防げません。
問3: 平成23年特別 問13(セキュリティ)
問題文: 経済産業省"ソフトウェア管理ガイドライン"に定められた,ソフトウェアを使用する法人,団体などが実施すべき基本的事項の記述のうち,適切なものはどれか。
選択肢:
- ア: ウイルスからソフトウェアを保護するため,関係法令や使用許諾契約などについて利用者の教育啓発を行う。
- イ: セキュリティ対策に責任を負うセキュリティ管理責任者を任命し,適切な管理体制を整備する。
- ウ: ソフトウェアの違法複製などの有無を確認するため,すべてのソフトウェアを対象として,その使用状況についての監査を実施する。
- エ: ソフトウェアの脆弱性を突いた不正アクセスから保護するため,ソフトウェアの使用手順や管理方法などを定めたソフトウェア管理規則を制定する。
正解: ウ
やさしい解説:
ソフトウェア管理ガイドラインとは、経済産業省が定めた「会社などでソフトウェアをきちんと管理するためのルール」です。主に、ソフトウェアの不正コピー(違法複製)を防止することを目的としています。
正解のウは「すべてのソフトウェアについて、違法コピーがないかどうか監査(チェック)する」ことです。
たとえると、学校で「教科書をコピーして使っている人がいないか、全員分をチェックする」ようなものです。
他の選択肢が間違いなのは:
- アは「ウイルスから保護するため」に教育を行うとしていますが、このガイドラインの教育目的は「著作権法や使用許諾契約を守るため」です。目的が間違っています。
- イは「セキュリティ管理責任者」ではなく、このガイドラインでは「ソフトウェア管理責任者」を任命することが求められています。
- エは「不正アクセスから保護するため」が目的として間違いです。ソフトウェア管理規則の制定は「ソフトウェアを適正に管理するため」です。
問4: 令和元年秋期 問10(セキュリティ)
問題文: BlueBorneの説明はどれか。
選択肢:
- ア: Bluetoothを悪用してデバイスを不正に操作したり,情報を窃取したりする,複数の脆弱性の呼称
- イ: 感染したPCの画面の背景を青1色に表示させた上,金銭の支払を要求するランサムウェアの一種
- ウ: 攻撃側(Red Team)と防御側(Blue Team)に分かれて疑似的にサイバー攻撃を行う演習における,防御側の戦術の一種
- エ: ブルーレイディスクを経由して感染を拡大した,日本の政府機関や重要インフラ事業者を標的としたAPT攻撃の呼称
正解: ア
やさしい解説:
BlueBorne(ブルーボーン)は、2017年に発見されたBluetooth(ワイヤレスイヤホンやキーボードなどをつなぐ無線技術)の脆弱性(セキュリティの弱点)のことです。名前の由来は「Bluetooth」+「Airborne(空気感染)」です。
この脆弱性を使うと、攻撃者はBluetooth通信の範囲内(通常10メートル程度)にいるだけで、相手のスマホやPCを勝手に操作したり情報を盗んだりできてしまいます。しかもペアリング(機器の接続設定)をしなくても攻撃できるのが怖いところです。
イはランサムウェアの話、ウはサイバー演習の話、エは架空の攻撃の話で、いずれもBlueBorneとは無関係です。
問5: 平成30年春期 問14(セキュリティ)
問題文: 内部ネットワークのPCがダウンローダ型マルウェアに感染したとき,そのマルウェアがインターネット経由で他のマルウェアをダウンロードすることを防ぐ方策として,最も有効なものはどれか。
選択肢:
- ア: インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
- イ: インターネット上の危険なWebサイトの情報を保持するURLフィルターを用いて,危険なWebサイトとの接続を遮断する。
- ウ: スパムメール対策サーバでインターネットからのスパムメールを拒否する。
- エ: メールフィルターでインターネット上の他サイトへの不正な電子メールの発信を遮断する。
正解: イ
やさしい解説:
ダウンローダ型マルウェアは、最初は小さなプログラムとしてPCに入り込み、その後インターネット上の悪意あるサイトから「本体」や「追加の悪いプログラム」をダウンロードするマルウェアです。
対策として最も有効なのは、URLフィルター(危険なWebサイトのリストを使って接続をブロックする仕組み)です。感染したPCが悪意あるサイトにアクセスしようとしても、フィルターがブロックしてくれます。
たとえるなら、子どもが危険なサイトにアクセスできないようにフィルタリングソフトを入れるのと同じ原理です。アは「外から中への攻撃」を防ぐもので、「中から外へのアクセス」には対応できません。ウとエはメール関連の対策なので、Web経由のダウンロードには無関係です。
問6: 平成25年春期 問13(セキュリティ)
問題文: ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
選択肢:
- ア: あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し,同じパターンがあれば感染を検出する。
- イ: ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があれば感染を検出する。
- ウ: ウイルスの感染が疑わしい検査対象を,安全な場所に保管されている原本と比較し,異なっていれば感染を検出する。
- エ: ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。
正解: エ
やさしい解説:
ビヘイビア法(振る舞い検知法)は、プログラムの「動き」や「ふるまい」を見てウイルスかどうかを判断する方法です。「ビヘイビア」は英語で「行動・ふるまい」という意味です。
たとえるなら、不審者を見分ける方法の違いです。アの方法(パターンマッチング法)は「手配写真と顔を照合する」方法。ウの方法(コンペア法)は「前回の写真と今の写真を比べて変化がないか確認する」方法。ビヘイビア法は「怪しい行動(キョロキョロする、何度も出入りする)をしている人を見つける」方法です。
ビヘイビア法の利点は、まだ手配写真(ウイルス定義ファイル)がない未知のウイルスも検出できることです。イはチェックサム法(改ざん検知法)の説明です。
問7: 平成22年春期 問12(セキュリティ)
問題文: ダウンローダ型ウイルスがPCに侵入した場合に,インターネット経路で他のウイルスがダウンロードされることを防ぐ有効な対策はどれか。
選択肢:
- ア: URLフィルターを用いてインターネット上の不正Webサイトへの接続を遮断する。
- イ: インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
- ウ: スパムメール対策サーバでインターネットからのスパムメールを拒否する。
- エ: メールフィルターで他サイトへの不正メール発信を遮断する。
正解: ア
やさしい解説:
この問題は問164(平成30年春期 問14)と同じテーマです。ダウンローダ型ウイルス(マルウェア)は、PCに入り込んだ後、インターネット上の悪意あるWebサイトから追加のマルウェアをダウンロードしようとします。
これを防ぐ最も有効な方法は、URLフィルター(危険なサイトへのアクセスをブロックする仕組み)を使うことです。悪意あるサイトのURLリストを持っておき、そこへの接続をブロックします。
たとえるなら、子どもに「この住所には行ってはいけません」というリストを渡して、危ない場所に近づかないようにするのと同じです。イは外からの攻撃を防ぐもので内側からのアクセスは防げません。ウとエはメール関連の対策であり、Web経由のダウンロードには効果がありません。
問8: 平成27年春期 問12(セキュリティ)
問題文: rootkitに含まれる機能はどれか。
選択肢:
- ア: OSの中核であるカーネル部分の脆弱性を分析する。
- イ: コンピュータがウイルスやワームに感染していないことをチェックする。
- ウ: コンピュータやルータのアクセス可能な通信ポートを外部から調査する。
- エ: 不正侵入してOSなどに組み込んだものを隠蔽する。
正解: エ
やさしい解説:
rootkit(ルートキット)は、泥棒がこっそり家に忍び込んだ後、自分の存在を隠すための道具セットのようなものです。「root」はコンピュータの最高権限(管理者)を意味し、「kit」は道具一式という意味です。
攻撃者がコンピュータに侵入した後、ルートキットを使うと、不正なプログラムが動いていることやファイルが追加されたことをOSから見えなくしてしまいます。まるで透明マントをかぶるようなイメージです。
- ア(間違い): これは脆弱性スキャナー(弱点を探すツール)の機能です。
- イ(間違い): これはウイルス対策ソフトの機能です。
- ウ(間違い): これはポートスキャナー(通信の入口を調べるツール)の機能です。
- エ(正解): 侵入した痕跡やマルウェアの存在を隠すのがルートキットの役割です。
問9: 平成23年特別 問9(セキュリティ)
問題文: ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
選択肢:
- ア: あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し,同じパターンがあれば感染を検出する。
- イ: ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があれば感染を検出する。
- ウ: ウイルスの感染が疑わしい検査対象を,安全な場所に保管する原本と比較し,異なっていれば感染を検出する。
- エ: ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。
正解: エ
やさしい解説:
ビヘイビア法(振る舞い検知法)は、プログラムの「行動」を監視してウイルスを見つける方法です。「behavior」は英語で「振る舞い・行動」という意味です。
たとえるなら、防犯カメラで「怪しい動きをしている人」を見つけるようなものです。顔(パターン)を知らなくても、「深夜に何度もドアを開け閉めしている」「異常に多くの荷物を持ち出している」などの不審な行動から「泥棒かもしれない」と判断できます。
- ア(間違い): パターンマッチング法(シグネチャ法)の説明です。既知のウイルスの「顔写真」と照合する方法です。
- イ(間違い): チェックサム法(インテグリティチェック法)の説明です。改ざんを検知する方法です。
- ウ(間違い): コンペア法の説明です。原本と比較する方法です。
- エ(正解): 異常な動作を監視して検出するのがビヘイビア法です。未知のウイルスも発見できるメリットがあります。
問10: 平成23年秋期 問13(セキュリティ)
問題文: ルートキット(rootkit)を説明したものはどれか。
選択肢:
- ア: OSの中核であるカーネル部分の脆弱性を分析するツール
- イ: コンピュータがウイルスやワームに感染していないことをチェックするツール
- ウ: コンピュータやルータのアクセス可能な通信ポートを外部から調査するツール
- エ: 不正侵入してOSなどに不正に組み込んだものを隠蔽する機能をまとめたツール
正解: エ
やさしい解説:
ルートキット(rootkit)は、攻撃者がコンピュータに侵入した後、「自分がいた痕跡を消す」ための道具セットです。rootはコンピュータの最高権限者(管理者)、kitは道具一式を意味します。泥棒にたとえると、家に侵入した後に防犯カメラの映像を消し、指紋を拭き取り、足跡を消して「誰も侵入していないように見せかける」道具セットのようなものです。
- アが間違いの理由: カーネルの脆弱性を分析するツールは脆弱性スキャナなどです。
- イが間違いの理由: ウイルスチェックはアンチウイルスソフトの役割です。
- ウが間違いの理由: 通信ポートを調査するのはポートスキャナです。
問11: 平成27年秋期 問8(セキュリティ)
問題文: 水飲み場型攻撃(Watering Hole Attack)の手口はどれか。
選択肢:
- ア: アイコンを文書ファイルのものに偽装した上で、短いスクリプトを埋め込んだショートカットファイル(LNKファイル)を電子メールに添付して標的組織の従業員に送信する。
- イ: 事務連絡などのやり取りを行うことで、標的組織の従業員の気を緩めさせ、信用させた後、攻撃コードを含む実行ファイルを電子メールに添付して送信する。
- ウ: 標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み、標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
- エ: ミニブログのメッセージにおいて、ドメイン名を短縮してリンク先のURLを分かりにくくすることによって、攻撃コードを埋め込んだWebサイトに標的組織の従業員を誘導する。
正解: ウ
やさしい解説:
水飲み場型攻撃は、その名前の由来がアフリカのサバンナにあります。ライオンが獲物を直接追いかけるのではなく、獲物がよく水を飲みに来る「水飲み場」で待ち伏せする方法です。同じように、攻撃者は標的の組織の人がよく見るWebサイトに罠を仕掛けて、アクセスしてきたときにマルウェア(悪意のあるプログラム)を感染させます。しかも、標的以外の人がアクセスしても何も起きないため、見つかりにくいのが特徴です。
- アが間違いの理由: これは標的型メール攻撃(偽装ファイルの添付)の手口です。
- イが間違いの理由: これはやり取り型攻撃(信頼関係構築後の攻撃)の手口です。
- エが間違いの理由: これはURLの短縮を利用した誘導攻撃の手口です。
問12: 平成29年春期 問13(セキュリティ)
問題文: ウイルス対策ソフトでの,フォールスネガティブに該当するものはどれか。
選択肢:
- ア: ウイルスに感染していないファイルを,ウイルスに感染していないと判断する。
- イ: ウイルスに感染していないファイルを,ウイルスに感染していると判断する。
- ウ: ウイルスに感染しているファイルを,ウイルスに感染していないと判断する。
- エ: ウイルスに感染しているファイルを,ウイルスに感染していると判断する。
正解: ウ
やさしい解説:
フォールスネガティブ(偽陰性)は「本当は危険なのに、安全だと間違えて判断してしまうこと」です。健康診断にたとえると、本当は病気なのに「異常なし」と診断されてしまうケースです。ウイルス対策ソフトの場合、感染しているファイルを「大丈夫」と見逃してしまうので、とても危険です。
- アが正常な理由: 安全なものを安全と判断するのは正しい結果です(真陰性)。
- イが間違いのパターン: これはフォールスポジティブ(偽陽性=安全なのに危険と誤判定)です。病気でないのに「病気です」と言われるケースです。
- エが正常な理由: 危険なものを危険と判断するのは正しい結果です(真陽性)。
問13: 平成31年春期 問11(セキュリティ)
問題文: DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。
選択肢:
- ア: DNSサーバにおいて、侵入したマルウェアをリアルタイムに隔離する。
- イ: DNS問合せに使用するDNSヘッダー内のIDを固定せずにランダムに変更する。
- ウ: DNS問合せに使用する送信元ポート番号を53番に固定する。
- エ: 外部からのDNS問合せに対しては、宛先ポート番号53のものだけに応答する。
正解: イ
やさしい解説:
DNSキャッシュポイズニング攻撃は、DNSサーバの記憶(キャッシュ)に偽のWebサイトの住所を覚えさせる攻撃です。攻撃者はDNSの問い合わせに対して偽の回答を送り込もうとしますが、正しい回答と見せかけるためにはDNSヘッダー内のID(問い合わせ番号)を一致させる必要があります。
IDを毎回ランダムに変えると、攻撃者はIDを当てることが非常に難しくなります。たとえるなら、毎回違う暗証番号を使うことで、泥棒が暗証番号を推測できなくなるのと同じです。
- アが間違いの理由: DNSキャッシュポイズニングはマルウェアの侵入ではなく、偽の応答パケットによる攻撃なので、マルウェア対策は効果がありません。
- ウが間違いの理由: ポート番号を53番に固定すると、攻撃者がどのポートに偽応答を送ればよいかわかってしまい、逆に攻撃が容易になります。正しくはポート番号もランダム化すべきです。
- エが間違いの理由: 宛先ポート番号の制限だけでは、偽の応答パケットの混入を防ぐことはできません。
問14: 平成23年秋期 問12(セキュリティ)
問題文: ダウンローダ型ウイルスがPCに侵入した場合に,インターネット経路で他のウイルスがダウンロードされることを防ぐ対策のうち,最も有効なものはどれか。
選択肢:
- ア: URLフィルターを用いてインターネット上の不正Webサイトへの接続を遮断する。
- イ: インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
- ウ: スパムメール対策サーバでインターネットからのスパムメールを拒否する。
- エ: メールフィルターで他サイトへの不正メール発信を遮断する。
正解: ア
やさしい解説:
ダウンローダ型ウイルスとは、最初は小さなプログラムとしてPCに入り込み、その後インターネットから本体の悪いプログラム(マルウェア)をダウンロード(取り込む)するタイプのウイルスです。
身近な例で言うと、泥棒の「先発隊」が家に忍び込んで、裏口を開けて「本隊」を呼び入れるようなものです。この「本隊を呼び入れる」のを防ぎたいわけです。
- ア(正解): URLフィルター(特定のWebサイトへの接続を禁止する仕組み)を使えば、ダウンローダが不正なサイトからウイルス本体をダウンロードしようとしても、その通信をブロックできます。「裏口を通じた外との連絡を遮断する」イメージです。
- イ: IPSは外から内への攻撃を防ぎますが、ダウンローダ型は内側のPCから外のサイトにアクセスするので方向が逆です。
- ウ: スパムメール対策はメールに関するもので、Webからのダウンロードは防げません。
- エ: メールの発信を止めても、Webからのダウンロードは防げません。
問15: 令和6年秋期 問11(セキュリティ)
問題文: SOAR(Security Orchestration, Automation and Response)の説明はどれか。
選択肢:
- ア: 脅威インテリジェンスの活用,セキュリティ運用の自動化及びインシデント対応の効率化を行う技術
- イ: 全ての利用者,デバイス,接続元を信頼できないものとして捉え,重要な情報資産やシステムに対するアクセスの正当性や安全性の検証を自動化することによって脅威を防ぐ考え方
- ウ: 組織間でサイバー攻撃に関する情報を効率的に交換するために,脅威情報構造化記述形式で記述された情報の交換を自動化するためのプロトコル仕様
- エ: ファイアウォール,マルウェア対策製品,侵入検知製品など複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置
正解: ア
やさしい解説:
SOARは名前の通り3つの要素からなります:
- Security Orchestration(セキュリティの連携): 複数のセキュリティツールを連携させる
- Automation(自動化): 繰り返しの作業を自動で行う
- Response(対応): インシデント(セキュリティ事故)に素早く対応する
消防署に例えると、SOARは「火災報知器が鳴ったら、自動で消防車の出動手配をし、過去の火災データを分析して最適な消火方法を提案してくれるシステム」のようなものです。
- ア(正解): SOARの正しい説明です。脅威インテリジェンス(攻撃に関する情報)の活用、自動化、効率化が3本柱です。
- イ: これはゼロトラスト(Zero Trust)の説明です。
- ウ: これはTAXII(脅威情報の自動交換プロトコル)の説明です。
- エ: これはSIEM(Security Information and Event Management)の説明です。SOARとSIEMは似ていますが、SIEMはログの集約・分析が主で、SOARはさらに対応の自動化まで含みます。
問16: 令和5年春期 問13(セキュリティ)
問題文: マルウェア感染の調査対象のPCに対して,電源を切る前に全ての証拠保全を行いたい。ARPキャッシュを取得した後に保全すべき情報のうち,最も優先して保全すべきものはどれか。
選択肢:
- ア: 調査対象のPCで動的に追加されたルーティングテーブル
- イ: 調査対象のPCに増設されたHDDにある個人情報を格納したテキストファイル
- ウ: 調査対象のPCのVPN接続情報を記録しているVPNサーバ内のログ
- エ: 調査対象のPCのシステムログファイル
正解: ア(調査対象のPCで動的に追加されたルーティングテーブル)
やさしい解説:
犯罪捜査と同じで、マルウェア(ウイルス)感染の調査でも「消えやすい証拠」から先に集める必要があります。これをデジタルフォレンジックス(電子的な鑑識)と言います。
証拠の「消えやすさ」の順番は:
- メモリ上のデータ(電源を切ると消える)← 最優先
- ハードディスク上のデータ(電源を切っても残る)
- 別のサーバにあるログ(すぐには消えない)
- ア(ルーティングテーブル) が正解。メモリ上に保存される揮発性(きはつせい=消えやすい)データで、電源を切ると消えてしまいます。ARPキャッシュの次に優先度が高いです。
- イ(HDDのテキストファイル) はハードディスクに保存されているので、電源を切っても消えません。優先度は低いです。
- ウ(VPNサーバのログ) は別のサーバにあるので、調査対象PCの電源を切っても消えません。
- エ(システムログ) もハードディスクに保存されているので、すぐには消えません。
問17: 平成28年秋期 問11(セキュリティ)
問題文: マルウェアの活動傾向などを把握するための観測用センサーが配備されるダークネットはどれか。
選択肢:
- ア: インターネット上で到達可能,かつ,未使用のIPアドレス空間
- イ: 組織に割り当てられているIPアドレスのうち,コンピュータで使用されているIPアドレス空間
- ウ: 通信事業者が他の通信事業者などに貸し出す光ファイバ設備
- エ: マルウェアに狙われた制御システムのネットワーク
正解: ア(インターネット上で到達可能,かつ,未使用のIPアドレス空間)
やさしい解説:
ダークネットとは、インターネット上に存在するけれど、どのコンピュータにも使われていないIPアドレスの空間です。
たとえると、住宅街の中にある「空き地」のようなものです。空き地には誰も住んでいないので、本来は誰もそこに手紙を送らないはずです。もし空き地宛ての手紙が届いたら、それは配達ミスか、不審者が何かを企んでいる証拠です。
同様に、ダークネットに届く通信は、マルウェアが無差別にスキャン(探索)しているか、攻撃を仕掛けようとしている証拠です。これを観測することで、マルウェアの活動傾向を把握できます。
- ア が正解。未使用のIPアドレス空間がダークネットです。
- イ は間違い。使用中のIPアドレスはダークネットではありません。
- ウ は間違い。これは「ダークファイバー」の説明で、ダークネットとは別物です。
- エ は間違い。制御システムのネットワークはダークネットではありません。
問18: 平成25年春期 問15(セキュリティ)
問題文: ダウンローダ型ウイルスが内部ネットワークのPCに感染した場合に,インターネット経由で他のウイルスがダウンロードされることを防ぐ対策として,最も有効なものはどれか。
選択肢:
- ア: URLフィルターを用いてインターネット上の不正Webサイトへの接続を遮断する。
- イ: インターネットから内部ネットワークに向けた要求パケットによる不正侵入行為をIPSで破棄する。
- ウ: スパムメール対策サーバでインターネットからのスパムメールを拒否する。
- エ: メールフィルターで他サイトへの不正メール発信を遮断する。
正解: ア
やさしい解説:
ダウンローダ型ウイルスは、感染したPCから「内部→外部」の方向でインターネット上の悪いサイトにアクセスし、追加のウイルスをダウンロードするマルウェアです。
たとえるなら、スパイが会社に潜入して、外部の仲間に電話をかけて武器を送ってもらうようなものです。この場合、電話を外にかけられないようにするのが最も効果的です。
URLフィルター(アが正解)は、危険なWebサイトへの接続をブロックする仕組みで、PCからインターネットへの不正な接続を遮断できます。
- イのIPSは「外→内」の攻撃を防ぐもので、ダウンローダは「内→外」に通信するので効果が限定的
- ウとエはメール関連の対策で、Web経由のダウンロードには効果がありません
問19: 平成28年春期 問12(セキュリティ)
問題文: DNSキャッシュポイズニング攻撃に対して有効な対策はどれか。
選択肢:
- ア: DNSサーバで,マルウェアの侵入をリアルタイムに検知する。
- イ: DNS問合せに使用するDNSヘッダー内のIDを固定せずにランダムに変更する。
- ウ: DNS問合せに使用する送信元ポート番号を53番に固定する。
- エ: 外部からのDNS問合せに対しては,宛先ポート番号53のものだけに応答する。
正解: イ
やさしい解説:
DNSキャッシュポイズニングとは、DNSサーバ(インターネットの電話帳のような存在)の情報を偽物にすり替える攻撃です。
たとえるなら、電話帳の「銀行の電話番号」をこっそり「詐欺グループの電話番号」に書き換えるようなものです。利用者は正しい番号だと思って電話をかけますが、実は詐欺グループにつながってしまいます。
この攻撃は、DNS問合せのID(16ビットの識別番号)を当てて偽の応答を送り込む仕組みです。IDが固定だと簡単に当てられてしまうので、毎回ランダムに変更することで、攻撃者が正しいIDを推測することを困難にします(イが正解)。
- アはDNS攻撃の直接の対策ではない
- ウは送信元ポートを固定すると逆に攻撃しやすくなる(ランダムにすべき)
- エは一般的な設定であり、キャッシュポイズニングの特別な対策にはならない