カテゴリ:7.セキュリティ > 7.1 セキュリティの脅威

問39 JIS Q 27000で定義された情報セキュリティの特性に関する記述のうち,否認防止の特性に該当するものはどれか。
ア ある利用者がシステムを利用したという事実を証明可能にする。
イ 意図する行動と結果が一貫性をもつ。
ウ 認可されたエンテイテイが要求したときにアクセスが可能である。
エ 認可された個人,エンテイテイ又はプロセスに対してだけ,情報を使用させる又は開示する。
【正解】ア
以下も参照してください。
http://sc.seeeko.com/archives/4064066.html

脅威系
■H25春AP
問38 暗号解読のための攻撃法のうち,ブルートフォース攻撃はどれか。
ア 与えられた一組の平文と暗号文に対し,総当たりで鍵を割り出す。
イ 暗号化関数の統計的な偏りを線形関数によって近似して解読する。
ウ 暗号化装置の動作を電磁波から解析することによって解読する。
エ 異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。

■H24秋AP
問40 完全性を脅かす攻撃はどれか。
ア Webページの改ざん
イ システム内に保管されているデータの持出しを目的とした不正コピー
ウ システムを過負荷状態にするDoS攻撃
エ 通信内容の盗聴

問41 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
 攻撃 対策
ア SQLインジェクション SQL文の組立てに静的プレースホルダを使用する。
イ クロスサイトスクリプティング 任意の外部サイトのスタイルシートを取り込めるようにする。
ウ クロスサイトリクエストフォージェリ リクエストにGETメソッドを使用する。
エ セッションハイジャック 利用者ごとに固定のセッションIDを使用する。

■H24春AP
問42 Jis Q 27001では,情報セキュリティは三つの特性を維持するものとして特徴付けられている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。
ア 安全性  イ 可用性  ウ 効率性  工 保守性

■H24春AP
問43 Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
ア OSコマンドインジェクションを防ぐために, Webアプリケーションが発行するセッションIDを推測困難なものにする。
SQLインジェクションを防ぐために, Webアプリケーション内でデータベースへの問合せを作成する際にパイント機構を使用する。
ウ クロスサイトスクリプディングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
セッションハイジャックを防ぐために, Webアプリケーションからシェルを起動できないようにする。

■H23春
問41 DNSキャツシュポイズニングに分類される攻撃内容はどれか。
DNSサーバのソフトウェアのバージョン情報を入手して. DNSサーバのセキュリテイホールを特定する。
イ PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する。
ウ 攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
工 内部情報を入手するために, DNSサーバが保存するゾーン情報をまとめて転送させる。

問42 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
ソーシャルエンジニアリング ウ パスワードクラック
トロイの木馬 エ 踏み台攻撃

問43 あるコンピュータセンタでは,インシデントを六つのタイプに分類した。
Scan :  プローブ,スキャン,そのほかの不審なアクセス
Abuse : サーバプログラムの機能を悪用した不正中継
Forged: 送信ヘッダを詐称した電子メールの配送
Intrusion : システムへの侵入
DoS :  サービス運用妨害につながる攻撃
Other :  その他
このとき,次の三つのインシデントに対するタイプの組合せのうち,適切なものはどれか。
インシデント1:ワームの攻撃が試みられた形跡があるが,侵入されていない。インシデント2:ネットワークの樋鞍による妨害を受けた。
インシデント3 : DoS 用の踏み台プログラムがシステムに設置されていた。
 インシデント1 インシデント2 インシデント3
ア Abuse DoS Intrusion  イ Abuse Forged DoS
ウ Scan DoS Intrusion  工 Scan Forged DoS

問44 ゼロデイ攻撃の特徴はどれか。
ア セキュリティパッチが提供される前に攻撃する。
イ 特定のサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。
ウ 特定のターゲットに対し,フィッシングメールを送信して不正サイトへ誘導する。工 不正中継が可能なメールサーバを見つけた後,それを踏み台にチェーンメールを大量に送信する。

「機密性」「完全性」「可用性」は情報セキュリティの3大要素とも言われます。
情報セキュリティの目的は、この3つを守ることと考えてよいでしょう。
詳しくは、以下に書いています。
http://sc.seeeko.com/archives/3824770.html

また、情報セキュリティの拡張要素も、言葉としては覚えておきましょう。
・信頼性
・否認防止性(Non Repudiation)
・責任追跡性(Accountability)
・真正性
http://sc.seeeko.com/archives/4064066.html

1.脅威とは
セキュリティ対策をする際に、まず、何から守るかという脅威を理解する必要があります。
脅威は、物理的脅威、技術的脅威、人的脅威の3つに分類されます。
具体的な内容は以下です。
http://sc.seeeko.com/archives/3824796.html

(2)マルウェア、不正プログラム
http://sc.seeeko.com/archives/cat_116328.html

2.不正のメカニズム
不正のトライアングルについても理解しておきましょう。
http://sc.seeeko.com/archives/5126634.html

H28春AP午前

問45 Man-in-the-Browser攻撃に該当するものはどれか。

ア DNSサーバのキャッシュを不正に書き換えて,インターネットバンキングに見せかけた偽サイトをWebブラウザに表示させる。
イ PCに侵入したマルウェアが,利用者のインターネットバンキングへのログインを検知して,Webブラウザから送信される振込先などのデータを改ざんする。
ウ インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき,その偽サイトに接続させて,Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。
エ インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ,Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し,利用者になりすましてログインする。

正解は、イです。

H27秋AP午前

問36 クロスサイトスクリプディングの手口に該当するものはどれか。

ア 攻撃者が,スクリプトを用いてWebサイトのOSコマンドを呼び出し,任意のファイルの読出しや変更・削除などの不正操作をする。
イ 攻撃者が,スクリプトを用いて特定のPCへ大量に接続要求を送り出し,通信機能を停止させる。
ウ 攻撃者が用意したスクリプトでWebサイトのサービスポートに順次アクセスし,各ポートに対応するサービスに存在するセキュリティ上の弱点を探し出す。
エ 攻撃者が用意したスクリプトを,閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み,閲覧者のWebブラウザ上でスクリプトを実行させる。

正解は、エです。

問42 ゼロデイ攻撃の特徴はどれか。

ア セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。
イ 特定のWebサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。
ウ 特定のターゲットに対し,フィッシングメールを送信して不正サイトへ誘導する。
エ 不正中継が可能なメールサーバを見つけた後,それを踏み台にチェーンメールを大量に送信する。 

正解は、アです。

問44 ブルートフォース攻撃に該当するものはどれか。

ア WebブラウザとWebサーバの間の通信で,認証が成功してセッションが開始されているときに,Cookieなどのセッション情報を盗む。
イ 可能性がある文字のあらゆる組合せのパスワードでログインを試みる。
ウ コンピュータへのキー入力を全て記録して外部に送信する。
エ 盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。

正解は、イです。

H27春AP午前

問37 DNSキャッシュポイズニングに分類される攻撃内容はどれか。

ア DNSサーバのソフトウェアのバージョン情報を入手して,DNSサーバのセキュリテイホールを特定する。
イ PCが参照するDNSサーバに偽のドメイン情報を注入して,偽装されたサーバにPCの利用者を誘導する。
ウ 攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
エ 内部情報を入手するために,DNSサーバが保存するゾーン情報をまとめて転送させる。

正解は、イです。  

問39 パスワードリスト攻撃に該当するものはどれか。

ア 一般的な単語や人名からパスワードのリストを作成し,インターネットバンキングヘのログインを試行する。
イ 想定され得るパスワードとそのハッシュ値との対のリストを用いて,入手したハッシュ値からパスワードを効率的に解析する。
ウ どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて,他のWebサイトに対してログインを試行する。
エ ピクチャパスワードの入力を録画してリスト化しておき,それを利用することでタブレット端末へのログインを試行する。

正解は、ウです。   

問43 サーバにバックドアを作り,サーバ内で侵入の痕跡を隠蔽するなどの機能がパッケージ化された不正なプログラムやツールはどれか。

ア RFID
イ rootkit
ウ TKIP
エ web beacon

正解は、イです。  

問46 ディレクトリトラバーサル攻撃はどれか。

ア OSの操作コマンドを利用するアプリケーションに対して,攻撃者が,OSのディレクトリ作成コマンドを渡して実行する。
イ SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して,攻撃者が,任意のSQL文を渡して実行する。
ウ シングルサインオンを提供するディレクトリサービスに対して,攻撃者が,不正に入手した認証情報を用いてログインし,複数のアプリケーションを不正使用する。
エ 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して,攻撃者が,上位のディレクトリを意味する文字列を入力して,非公開のファイルにアクセスする。

正解は、エです。

H26秋AP午前
 
問35 APT(Advanced Persistent Threats)の説明はどれか。

ア 攻撃者はDoS攻撃及びDDoS攻撃を繰り返し組み合わせて,長期間にわたり特定組織の業務を妨害する。
イ 攻撃者は興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
ウ 攻撃者は特定の目的をもち,標的となる組織の防御策に応じて複数の手法を組み合わせ,気付かれないよう執鉱に攻撃を繰り返す。
エ 攻撃者は不特定多数への感染を目的として,複数の攻撃方法を組み合わせたマルウェアを継続的にばらまく。

正解は、ウです。  
  
問39 企業のDMZ上で1台のDNSサーバを,インターネット公開用と,社内のPC,サーバからの名前解決の問合せに対応する社内用とで共用している。このDNSサーバが,DNSキャッシュポイズニングの被害を受けた結果,直接引き起こされ得る現象はどれか。

ア DNSサーバのハードディスク上に定義されているDNSサーハ名が書き換わり,外部からの参照者が,DNSサーバに接続できなくなる。
イ DNSサーバのメモリ上にワームが常駐し,DNS参照元に対して不正プログラムを送り込む。
ウ 社内の利用者が,インターネット上の特定のWebサーバを参照する場合に,本来とは異なるWebサーバに誘導される。
エ 社内の利用者間の電子メールについて,宛先メールアドレスが書き換えられ,送受信ができなくなる。


正解は、ウです。

H26秋AP午前

問40 Webアプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。

ア OSコマンドインジェクションを防ぐために,Webアプリケーションが発行するセッションIDを推測困難なものにする。
イ SQLインジェクションを防ぐために,Webアプリケーション内でデータベースへの問合せを作成する際にパイント機構を使用する。
ウ クロスサイトスクリプディングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
エ セッションハイジャックを防ぐために,Webアプリケーションからシェルを起動できないようにする。

正解は、イです。 

H25秋AP午前

問42 クロスサイトスクリプディングの手口はどれか。

ア Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
イ インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざん・破壊を行ったりする。
ウ 大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。
エ パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

正解は、アです。  
 
問44 サーバヘのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち,適切なものはどれか。
170829_14

正解は、イです。
詳細は以下で解説。
http://sc.seeeko.com/archives/3857127.html

問44 攻撃にHTTP over TLSHTTPS)が使われた場合に起こり得ることはどれか。

ア HTTPSを使ったSQLインジェクション攻撃を受けると, Webアプリケーションでデータベースへの不正な入力をチェックできないので,悪意のあるSQLが実行されてしまう。
イ HTTPSを使ったクロスサイトスクリプティング攻撃を受けると,Webブラウザでプログラムやスクリプトを実行しない設定にしても実行を禁止できなくなるので,悪意のあるWebサイトからダウンロードされたプログラムやスクリプトが実行されてしまう。
ウ HTTPSを使ったブルートフォース攻撃を受けると,ログイン試行のチェックができないので,Webアプリケーションでアカウントロックなどの対策が実行できなくなってしまう。
エ 攻撃者が社内ネットワークに仕掛けたマルウェアによってHTTPSが使われると,通信内容がチェックできないので,秘密情報が社外に送信されてしまう。
正解は、エです。

問40 水飲み場型攻撃(Watering Hole Attack)の手口はどれか。

ア アイコンを文書ファイルのものに偽装した上で,短いスクリプトを埋め込んだショートカットファイル(LNKファイル)を電子メールに添付して標的組織の従業員に送信する。
イ 事務連絡などのやり取りを何度か行うことによって,標的組織の従業員の気を緩めさせ,信用させた後,攻撃コードを含む実行ファイルを電子メールに添付して送信する。
ウ 標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
エ ミニブログのメッセージにおいて,ドメイン名を短縮してリンク先のURLを分かりにくくすることによって,攻撃コードを埋め込んだWebサイトに標的組織の従業員を誘導する。
正解は、ウです。

問41 DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち,適切なものはどれか。

ア 外部ネットワークからの再帰的な問合せにも応答できるように,コンテンツサーバにキャッシュサーバを兼ねさせる。
イ 再帰的な問合せに対しては,内部ネットワークからのものだけに応答するように設定する。
ウ 再帰的な問合せを行う際の送信元のポート番号を固定する。
エ 再帰的な問合せを行う際のトランザクションIDを固定する。
正解は、イです。

サイバー攻撃というのは、いろいろな手法で攻撃をしかけてきます。

----------
DoS攻撃って簡単にできるのか?
----------
応用情報技術者試験を勉強する成子 

最近では、高校生もDDoS攻撃をして検挙されたと聞きました
はい。とても簡単にできてしまいます。
たとえば、最も簡単なDoS攻撃は、「F5攻撃」です。キーボードにあるF5キーを押すと、Webサイトの情報がリロードされます。このF5キーを連打を大人数でやれば、立派なDoS攻撃になります。これは、F5アタックとして、実際のDDoS攻撃も行われました。
また、DDoS攻撃は、サービスとした売買されています。
http://sc.seeeko.com/archives/4357836.html
ここにあるように、サラリーマンのお小遣い程度で、大規模なDDoS攻撃が仕掛けられてしまいます。


1.パスワードクラック
(1)パスワードの不正取得方法
辞書攻撃、スニッフィング、ブルートフォース攻撃があることを理解しましょう。
http://sc.seeeko.com/archives/3946331.html

(2)リバースブルートフォース攻撃
http://sc.seeeko.com/archives/5071898.html

(3)パスワードリスト攻撃
http://sc.seeeko.com/archives/4732354.html

(4)ロギングツール(キーロガー
http://sc.seeeko.com/archives/3967912.html

2.標的型攻撃
①標的型攻撃とは
http://sc.seeeko.com/archives/4881209.html

②C&Cサーバ
http://sc.seeeko.com/archives/4844208.html

※標的型攻撃の対策に関しては、「3.3 情報セキュリティ対策」 > 「2.技術的セキュリティ対策」にて記載します。
http://sg.seeeko.com/archives/817773.html

3.Webサーバへの攻撃
過去問では、Webサーバへの脅威がまとめられています。以下をご参照ください。キーワードとその意味を確認することができます。
http://sc.seeeko.com/archives/4564879.html

個別の解説は以下です。

クロスサイトスクリプティングXSS
http://sc.seeeko.com/archives/3857182.html

クロスサイトリクエストフォージェリ(Cross Site Request Forgeris)
http://sc.seeeko.com/archives/3615571.html

③クリックジャッキング
http://sc.seeeko.com/archives/cat_125549.html

SQLインジェクション
http://sc.seeeko.com/archives/cat_125407.html

⑤OSコマンドインジェクション
http://sc.seeeko.com/archives/4926996.html

ディレクトリトラバーサル
http://sc.seeeko.com/archives/3829776.html

4.DDoS
以下を参考にしてください。
http://sc.seeeko.com/archives/cat_125374.html

5.その他
①中間者攻撃
http://sc.seeeko.com/archives/4808611.html

セッションハイジャック
http://sc.seeeko.com/archives/4570034.html

③フィッシング
http://sc.seeeko.com/archives/4836185.html

↑このページのトップヘ