セキュリティ

76問 • 1年前

ユーザ名非公開

通報

問題一覧

情報セキュリティにおける"完全性”を脅かす攻撃はどれか

Web ページの改ざん

情報セキュリティにおいて，業務で利用しているシステムに影響を与える事象』a～dのうち，脅威によって直接的に引き起こされたものだけを全て挙げたものはどれか。

a,b,d

不正アクセスなどに利用される，コンピュータシステムやネットワークに存在する弱点や久陥のことを何というか。

セキュリティホール

マルウェアの説明として，適切なものはどれか。

コンピュータウイルス、ワームなどを含む悪意のあるソフトウェアの総称

ボットに関する説明として、適切なものはどれか。

ネットワークを介して、他人のPCを自由に操ったり、パスワードなど重要な情報を盗んだりする。

ランサムウェアの説明として、適切なものはどれか。

感染すると勝手にファイルやデータの暗号化などを行って、正常にデータにアクセスできないようにし、売に戻すための代金を利用者に要求するソフトウェア

パスワードの解読方法の一つとして、全ての文字の組合せを試みる総当たり攻繋がある。“0”から“g”の10種類の文字を使用できるバスワードにおいて、桁数を4桁から6桁に増やすと、総当たり攻撃でパスワードを解読するための最大の試行回数は何倍になるか。

100

パスワードリスト攻撃に該当するものはどれか。

どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する。

銀行やクレジットカード会社などを装ったのWebページを開設し、金融機関や公的機関などを装った後の電子メールなどで、利用者を巧みに誘導して、暗証番号やクレジットカード番号などの個人情報を盗み取る行為を何と呼ぶか

フィッシング

クロスサイトスクリプティングに関する記述として、適切なものはどれか。

Web サイトの運営者が意図しないスクリプトを含むデータであっても、利用者のブラウザに送ってしまう施弱性を利用する。

クロスサイトリクエストフォージェリが攻撃対象とする利用者はどれか。

他のWebサイトに正当なパスワードでログインした状態の利用者

サーバとクライアント間の正規の通群を乗っ取ることで、正規のクライアントになりすまし、サーバ内のデータなどを盗み出す攻撃はどれか。

セッションハイジャック

DOS攻撃の説明として、適切なものはどれか。

電子メールやWeb リクエストなどを大量に送りつけて、ネットワーク上のサービスを提供不能にすること

SQL インジェクション攻撃の説明はどれか。

Web アプリケーションに問題があるとき、悪意のある問合せや操作を行う命令文を入力して、データベースのデータを不正に取得したり改ざんしたりする攻撃

パス名を含めてファイルを指定することによって、管理者が意図していないファイルを不正に閲覧する攻撃はどれか。

ディレクトリトラバーサル攻撃

ソーシャルエンジニアリングに分類される手口はどれか。

システム管理者などを装い，利用者に問い合わせてパスワードを取得する。

APTの説明はどれか

攻撃者は特定の目的をもち、標的となる組織の防策に応じて複数の手法を組み合わせ、気付かれないよう執拗に攻撃を繰り返す。

ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。

件名や本文に、受者の業務に関係がありそうな内容が記述されてい

セキュリティ事故の例のうち、原因が物理的成に分類されるものはどれか

大雨によってサーバ室に水が入り、機器が停止する。

企業内ネットワークやサーバに侵入するために攻撃者が組み込むものはどれか。

バックドア

ゼロデイ攻撃の説明として、適切なものはどれか。

ソフトウェアに胎弱性が存在することが判明したとき、そのソフトウェアの修正プログラムがベンダから提供される前に、判明した施弱性を利用して行われる攻撃

データを暗号化することによって防ぐことのできる脅威はどれか。

通信内容の盗聴

共通鍵暗号方式では通行の組合せごとに鍵が1個必要となる。例えばA～Dの4人が相互に通を行う場合は、下図のようにAB,AC,AD,BC,BD、CD の組合せの6個の鍵が必要である。8人が相互に通を行うためには何個の鍵が必要

Xさんは、Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので、公開鍵暗号方式を用いて暗号化して送言したい。電子メールの内容を暗号化するのに使用する鍵はどれか。

Yさんの公開鍵

認証技術を、所有物による認証、身体的特徴による認証及び知識による認証のミっに分類したとき、分類と実現例①～③の適切な組合せはどれか。

イ

生体認証システムを導入するときに考慮すべき点として、最も適切なものはどれか。

本人を誤って拒否する確率と他人を誤って許可する確率の双方を勘案して装置を調整する。

メッセージ認証符号におけるメッセージダイジェストの利用目的はどれか。

メッセージが改ざんされていないことを確認する。

受信した電子メールに、PKI（公開鍵基盤）を利用したデジタル署名が付与されている場合に判断できることだけを全て挙げたものはどれか。

c,d

デジタル署名に用いる鍵の組合せのうち、適切なものはどれか

エ

PKI （公開鍵基盤）の認証局が果たす役割はどれか。

失効したデジタル証明書の一覧を発行する。

ファイルサーバについて、情報セキュリティにおける“可用性”を高めるための管理として、適切なものはどれか。

ストレージを二重化し、耐障害性を向上させる。

JIS Q 27000:2014（情報セキュリティマネジメントシステムー用語）における真正性及び信頼性に対する定義a～dの組みのうち、適切なものはどれか。

イ

BECに該当するものはどれか

巧妙なだましの手口を駆使し、取引先になりすましての電子メールを送り、金銭をだまし取る。

ソーシャルエンジニアリングに該当するものはどれか。

オフィスから廃棄された紙ごみを、清掃員を装って収集して、企業や組織に関する重要情報を盗み出す。

ボットネットにおいてC&Cサーバが担う役割はどれか。

遠隔操作が可能なマルウェアに、情報収集及び攻撃活動を指示する。

ランサムウェアに分類されるものはどれか。

感染したPCのファイルを暗号化し、ファイルの復号と引換えに金銭を要求するマルウェア

サーバにバックドアを作り、サーバ内での侵入の痕跡を隠蔽するなどの機能をもつ不正なプログラムやツールのパッケージはどれか。

rootkit

不正が発生する際には“不正のトライアングル”の3要素全てが存在すると考えられている。“不正のトライアングル”の構成要素の説明として、適切なものはどれか。

“機会”とは、情報システムなどの技術や物理的な環境，組織のルールなど、内部者による不正行為の実行を可能又は容易にする環境の存在である。

軽微な不正や犯罪を放置することによって、より大きな不正や犯罪が誘発されるという理論はどれか。

割れ窓理論

一般的な検索方法では見つけることができない。意図的に秘匿されたWebサイトはどれか。

ダークウェブ

特定のサービスやシステムから流出した認証情報を攻撃者が用いて，認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを試みる攻喫はどれか。

パスワードリスト攻撃

リバースブルートフォース攻撃に該当するものはどれか。

パスワードを一つ選び、利用者IDとして次々に文字列を用意して総当たりにログインを試行する。

インターネットバンキングでのMITB 攻撃による不正送金について、対策として用いられるトランザクション署名の説明はどれか。

利用者が送金取引時に、送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する。

ドライブバイダウンロード攻撃に該当するものはどれか。

利用者が公開 Webサイトを閲覧したときに、その利用者の意図にかかわらず，PC にマルウェアをダウンロードさせて感染させる。

攻撃者が、多数のオープンリゾルバに対して、“あるドメイン”の実在しないランダムなサブドメインを多数問い合わせる攻撃（ランダムサブドメイン攻撃）を仕掛け、多数のオープンリゾルバが応答した。このときに発生する事象はどれか。

“あるドメイン”を管理する権威DNS サーバに対して負荷が掛かる。

SEO ポイズニングの説明はどれか。

Web検索サイトの順位付けアルゴリズムを悪用して、検索結果の上位に、悪意のあるWebサイトを意図的に表示させる。

攻撃者が用意したサーバXのIPアドレスが、A社WebサーバのFODNに対応するIPアドレスとして、B社NSキャッシュサーバに記憶された。これによって、意図せずがーバXに誘導されてしまう利用者はどれか。ここで、A社、B社の各従業員は自社のDNS キャッシュサーバを利用して名前解決を行う。

A社WebサーバにアクセスしようとするB社従業員

従量課金制のクラウドサービスにおける EDoS （Economic Denial of Service，又は Economic Denial of Sustainability）攻撃の説明はどれか。

クラウドサービス利用者の経済的な損失を目的に、リソースを大量消費させる攻撃

2 n人が共通鍵暗号方式を用いて相互に通を行うとき，何種類の共通が必要か

PCとサーバとの間でIPsecによる暗号化通を行う。通信データの暗号化アルゴリズムとして AES を使うとき、用いるべき鍵はどれか。

PCだけが所有する秘密鍵

データベースで管理されるデータの暗号化に用いることができ，かつ，暗号化と復号とで同じ鍵を使用する暗号方式はどれか。

AES

楕円曲線暗号の特徴はどれか。

RSA符号と比べて、短い健長で同レベルの安全性が英現できる。

利用者PC上のSSHクライアントからサーバに公開鍵認証方式でSSH接続するとき、利用者のログイン認証時にサーバが使用する鍵と SSHクライアントが使用する鍵の組みはどれか。

サーバに登録された SSH クライアントの公開鍵と、利用者PC上のSSHクライアントの秘密鍵

OpenPGPやS/MIME において用いられるハイブリッド暗号方式の特徴はどれか。

公開鍵暗号方式と共通鍵暗号方式を組み合わせることによって鍵管理コストと処理性能の両立を図る。

手順に示す電子メールの送受備によって得られるセキュリティ上の効果はどれか。

電子メールの本文の内容の漏えいの防止

アプリケーションソフトウェアにディジタル署名を施す目的はどれか。

アプリケーションソフトウェアの改ざんを利用者が検知できるようにする。

ディジタル証明書をもつA氏が，B商店に対して電子メールを使って商品を注文するときに、A氏は自分の秘密鍵を用いてディジタル署名を行い，B商店はA氏の公開鍵を用いて署名を確認する。この手法によって実現できることはどれか。ここで、A氏の秘密鍵はA氏だけが使用できるものとする。

B商店に届いた注文が、A氏からの注文であることを確認できる

XML 署名を利用することによってできることはどれか。

XML文書全体に対する単一の署名だけではなく，文書の一部に対して署名を付与する部分署名や多重署名などの複雑な要件に対応する。

メッセージが改ざんされていないかどうかを確認するために、そのメッセージから、ブロック暗号を用いて生成することができるものはどれか。

メッセージ認証符号

利用者PCの内蔵ストレージが暗号化されていないとき、攻撃者が利用者PCから内蔵ストレージを抜き取り、攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。

利用者PC上でHDDパスワードを設定する。

セキュアハッシュ関数 SHA-256を用いてファイルA及びファイルBのハッシュ値を算出すると、どちらも全く同じに示すハッシュ値n（16進数で示すと64桁）となった。この結果から考えられることとして、適切なものはどれか。

ファイルAの内容とファイルBの内容は同じである。

リスクベース認証に該当するものはどれか。

利用者のIPアドレスなどの環境を分析し、いつもと異なるネットワークからのアクセスに対して追加の認証を行う。

ワンタイムパスワードに関する記述のうち、適切なものはどれか。

認証のために1回しか使えない，使い捨てパスワードのことである。

2要素認証に該当する組みはどれか。

パスワード認証，静脈認証

バイオメトリクス認証システムの判定しきい値を変化させるとき、FRR （本人拒否率）とFAR （他人入率）との関係はどれか

FRRを減少させると、FARは増大する。

Webサイトで利用される CAPTCHAに該当するものはどれか。

人からのアクセスであることを確認できるよう、アクセスした者に応答を求め、その応答を分析する仕組み

A社のWebサーバは、サーバ証明書を使ってTLS 通を行っている。PCからA社のWeb サーバへのTLS を用いたアクセスにおいて、当該PCがサーバ証明書を入手した後に、認証局の公開鍵を利用して行う動作はどれか。

サーバ証明書の正当性を、認証局の公開鍵を使って検証する。

JIS Q 27000:2014 （情報セキュリティマネジメントシステムー用語）及び JIS Q27001:2014（情報セキュリティマネジメントシステム＝要求事項）における情報セキュリティ事象と情報セキュリティインシデントの関係のうち，適切なものはどれか。

情報セキュリティ事象は情報セキュリティインシデントと無関係である。

情報の取扱基準の中で，社外秘情報の持出しを禁じ、周知した上で、従業員に情報を不正に持ち出された場合に、“社外秘情報とは知らなかった”という言い訳をさせないことが目的の一つになっている対策はどれか。

情報の管理レベルについてのラベル付け

A社では、利用しているソフトウェア製品の能引性に対して、ベンダから提供された最新のセキュリティパッチを適用することを決定した。ソフトウェア製品がインストールされている組織内のPCやサーバについて、セキュリティパッチの適用れを防ぎたい。そのために有効なものはどれか。

ソフトウェア製品の名称やバージョン、それらが導入されている機器の所在，IPアドレスを管理するIT資産管理システム

ディジタルフォレンジックスでハッシュ値を利用する目的として，適切なものはどれか。

証拠となり得るデータについて、原本と複製の同一性を証明する。

Webシステムにおいて、セッションの乗っ取りの機会を減らすために、利用者のログアウト時にWebサーバ又はWeb ブラウザにおいて行うべき処理はどれか。ここで，利用者は自分専用のPCにおいて、Webブラウザを利用しているものとする。

Webサーバにおいてセッション IDを無効にする。

セキュリティバイデザインの説明はどれか。

システムの企画・設計段階からセキュリティを確保する方策のことである。

PCが、Webサーバ、メールサーバ、他のPCなどと通信を始める際に、通相手のIP アドレスを問い合わせる仕組みはどれか。

DNS (Domain Name System)

ヒューマンエラーに起因する障害を発生しにくくする方法に、エラープルーフ化がある。運用作業におけるエラープルーフ化の例として、最も適切なものはどれか。

画面上の複数のウィンドウを同時に使用する作業では、ウィンドウを間違えないようにウィンドウの背景色をそれぞれ異なる色にする。

システム運用におけるデータの取扱いに関する記述のうち、最も適切なものはどれか。

入力データのエラー検出は、データを処理する段階で行うよりも、入力段階で行った方が検出及び修正の作業効率が良い。

経営

経営

法規

法規

プレゼン

プレゼン

SQL

SQL

C言語

C言語

FE2

FE2

FE3

FE3

FE4

FE4

FE5

FE5

セキュリティ期末

ユーザ名非公開 · 76問 · 11ヶ月前

セキュリティ期末

76問 • 11ヶ月前

ユーザ名非公開

経営期末

ユーザ名非公開 · 63問 · 11ヶ月前

経営期末

63問 • 11ヶ月前

ユーザ名非公開