試験頻出項目：サイバー攻撃手法２

62問 • 1年前

平川巧真

通報

問題一覧

大型分散型のDoS攻撃の事を何というか

DDoS攻撃

あるドメインにランダムなサブドメインをつけて、オープンリゾルバにお問合せをする攻撃方法を何というか

ランダムサブドメイン攻撃

不特定の端末に対して再帰的問い合わせを許す　キャッシュサーバの事を何というか

オープンリゾルバ

通信の疎通格に尿プロトコルであるICMPを大量に送信する攻撃方法を何というか　半角英数

ICMPFlood

疎通確認コマンドであるpingをブロードキャストアドレスに対して行い、返信先に攻撃対象のIPアドレスを設定する攻撃方法を何というか半角英数

smurf

アクセス制御をしているコンピュータへの攻撃やセキュリティーホールをついた攻撃への罪科を何というか

不正アクセス禁止法

大量の口座から１円ずつ預金を転送するなどして、ユーザーに気付かれないような窃盗を行う方法を何というか

サラミ法

IT技術によらず、人的な脆弱性を利用して情報を搾取する手法を何というか

ソーシャルエンジニアリング

ユーザIDやパスワードをタイプしているユーザの肩口からその様子を盗み見て情報を取得する方法を何というか

ショルダーハッキング

ゴミ箱に捨てた上布尾をつなぎ合わせて本来の重要な情報を復元する作業を何というか

スキャビンジング

上司や取引先など、自分にとって逆らいにくい相手からのメールに偽装して、偽の振り込みなどをさせる手法を何というか

BEC

ICカードや顔認証などの仕組みによって、許可されたものしか建物や部屋に入れないような場所にICカードをかざしたものお直後に関係のない人が続くやり方でセキュリティを突破する方法を何というか

共連れ

無断で送り付けられてくる広告メールや意味のない大量のメールの事を何というか

スパムメール

HTMLにスクリプトを埋め込める性質を利用した攻撃方法を何というか

クロスサイトスクリプティング

利用者が何らかのサービスを見ている最中にクラッカーの不正サイトを訪れると、クラッカーから不正スクリプトが送信され、掲示板に意図しない書き込みを行ってしまうよな攻撃手法を何というか

クロスサイトリクエストフォージェリ

脆弱性が見つかっているのに、それに対応する手段があない状態での攻撃を指す用語を何というか

ゼロデイ攻撃

データベースに送信するデータの中にSQL文を混入して不正にデータベースを操作する行為の事を何というか

SQLインジェクション

webページを閲覧するだけでマルウェアがダウンロード、実行される攻撃手法を何というか

ドライブバイダウンロード攻撃

特定のサービスやシステムから流出した認証情報を攻撃者が用いて、認証情報を複数のサービスやシステムで使いまわしている利用者のアカウントへのログインを試みる攻撃はどれか

パスワードリスト攻撃

情報セキュリティにおいてバックドアに該当する者はどれか

アクセスする際にパスワード認証などの正規の手続きが必要なWebサイトに、当該手続を経ないでアクセス可能なURL

DNSキャッシュポイズニングに該当する者はどれか

PCが問い合わせを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、偽のドメイン情報を注入する

ディレクトリトラバーサル攻撃に該当する者はどれか

攻撃者が、バス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する

BEC(Business E-mail Compromise)に該当する者はどれか

巧妙なだましの手口を駆使し、取り引き先に成りすまして偽の電子メールを送り金銭をだまし取る

ゼロデイ攻撃の特徴はどれか

脆弱性に対してセキュリティパッチが提供される前に当該脆弱性を悪用して攻撃する

情報の取扱いに関する不適切な行為a~cのうち,不正アクセス禁止法で定められている禁止行為に該当するものだけを全て挙げたものはどれか。 a オフィス内で拾った手帳に記載されていた他人の利用者IDとパスワードを無断で使って,自社のサーバにネットワークを介してログインし,格納されていた人事評価情報を閲覧した。 b 同僚が席を離れたときに,同僚のPCの画面に表示されていた,自分にはアクセスする権限のない人事評価情報を閲覧した。 c 部門の保管庫に保管されていた人事評価情報が入ったUSBメモリを上司に無断で持ち出し,自分のPCで人事評価情報を閲覧した。

Webサーバの検査におけるポートスキャナーの利用目的はどれか。

Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。

情報セキュリティにおける脅威であるバッファオーバーフローの説明として,適切なものはどれか。

プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで,想定外の動作をさせる。

暗号解読の手法のうち,ブルートフォース攻撃はどれか。

与えられた1組の平文と暗号文に対し,総当たりで鍵を割り出す。

情報セキュリティの脅威であるキーロガーの説明として,適切なものはどれか。

キーボード入力を記録する仕組みを利用者のPCで動作させ,この記録を入手する。

不正アクセスを行う手段の一つであるIPスプーフィングの説明として,適切なものはどれか。

偽の送信元IPアドレスをもったパケットを送ること

TCP/IPネットワークにおけるARPの説明として,適切なものはどれか。

IPアドレスからMACアドレスを得るプロトコルである。

オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて,攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。

MITB(Man In The Browser)攻撃

フィッシングの手口に該当するものはどれか。

エ電子メールを発信して受信者を誘導し,実在する会社などを装った偽のWebサイトにアクセスさせ,個人情報をだまし取る。

DoS(Denial of Service)攻撃の説明として,適切なものはどれか。

電子メールやWebリクエストなどを大量に送りつけて,ネットワーク上のサービスを提供不能にすること

攻撃者が,多数のオープンリゾルバに対して,"あるドメイン"の実在しないランダムなサブドメインを多数問い合わせる攻撃(ランダムサブドメイン攻撃)を仕掛け,多数のオープンリゾルバが応答した。このときに発生する事象はどれか。

"あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

ICMP Flood攻撃に該当するものはどれか。

pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。

不正アクセス禁止法による処罰の対象となる行為はどれか。

不正アクセスを行う目的で他人の利用者ID,パスワードを取得したが,これまでに不正アクセスは行っていない。

ソーシャルエンジニアリングに分類される手口はどれか。

システム管理者などを装い,利用者に問い合わせてパスワードを取得する。

特定電子メール送信適正化法で規制される,いわゆる迷惑メール(スパムメール)はどれか。

送信することの承諾を得ていない不特定多数の人に送った広告メール

クロスサイトスクリプティングに該当するものはどれか。

攻撃者が罠(わな)を仕掛けたWebページを利用者が閲覧し,当該ページ内のリンクをクリックしたときに, 不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ,レスポンスに埋め込まれた不正スクリプトの実行によって,情報漏えいをもたらす。

SQLインジェクション攻撃の説明はどれか。

Webアプリケーションに問題があるとき,悪意のある問合せや操作を行う命令文をWebサイトに入力してデータベースのデータを不正に取得したり改ざんしたりする攻撃

DoS攻撃の一つであるSmurf攻撃はどれか。

偽装したICMPの要求パケットを送って,大量の応答パケットが攻撃対象に送られるようにする。

許された以上の行為をネットワークを介して意図的に行うことをOOと呼ぶ　OOに入る言葉は何か

不正サクセス

代表的な方法としては、メモリの格納可能な領域を超えるサイズのデータを送信するOOがある　 OOに入る言葉は何か

バッファオーバフロー攻撃

考えられるすべてのパスワードの組み合わせを試す攻撃をOOと呼ぶ　OOに入る言葉は何か

ブルートフォース攻撃

何らかの手段で入手したアカウントとパスワードの対を用いて、不正ログインを失効する手法をOOと呼ぶ OOに入る言葉は何か

パスワードリスト攻撃

侵入にかかる時間と手間を短縮するために、攻撃者はOOと呼ばれる進入路を確保する OOに入る言葉は何か

バックドア

ナットワーク場を流れるデータを取得する行為を何というか

盗聴

DNSサーバに偽の名前解決情報を記録させ、意図しないサーバと通信させる行為を何というか

DNSキャッシュポイズニング

管理者が意図していないディレクトリにアクセスを行う攻撃手法を何というか

ディレクトリトラバーサル

IPパケットのヘッダ情報を偽装することによてってほかのマシンに成りすまし、本来アクセスを許可されていないシステムにアクセスする方法を何というか

IPスプーフィング

第三者のコンピュータを介して、そのコンピュータからアクセスしているように見せかける攻撃手法を何というか

踏み台

マルウェアがぶらうざと　サーバの間に介入することによってブラウザの通信を乗っ取る攻撃を何というか

ＭＩＴＢ

なりすましなどで正規サイトに見せかけた詐欺サイトへ誘導するなどして、個人情報の入手や詐欺を行う手法を何というか

フィッシング

頻出問題：特定の組織や人にターゲットを絞り込んで行う攻撃を、OOという、企業の正規の書類フォーマットや組織図、人間関係を把握するなど、十分な準備の上で行われます。

標的型攻撃

OOは、サーバに負荷を集中左折などしてサーバを使用不能に陥れる攻撃で、営業棒街などに利用される

DoS

OOとは、人的な脆弱性を利用して情報を搾取する手法で、ごみ箱に捨てられた情報をつなぎ合わせて本来の情報を復元するスキャビンジングなどの手法がある

ソーシャルエンジニアリング

上司や取引先など、自分にとって逆らいにくい相手からのメールに偽装して、偽の振り込みなどをさせる手法をOOという

BEC

OOとは、無断で送り付けられてくる広告メールや意味のない大量のメールを指す

スパムメール

OOはスクリプト攻撃の一種で、HTMLにスクリプトを埋め込める性質を利用して、コンピュータに被害を与える

クロスサイトスクリプティング

OOとは、脆弱性が見つかっているのに、それに対応する手段が用意されないうちに行われる攻撃のこと

ゼロデイ攻撃

OOとは、データベースに送信するデータの中でSQL文を混入させて、不正にデータベースを操作する行為

SQLインジェクション

情報のCIA

情報のCIA

情報資産・脅威・脆弱性

情報資産・脅威・脆弱性

試験頻出項目：サイバー攻撃手法

試験頻出項目：サイバー攻撃手法

暗号

暗号

認証

認証

第１章まとめ

第１章まとめ

リスクマネジメント

リスクマネジメント

情報セキュリティポリシ

情報セキュリティポリシ

各種管理策

各種管理策

セキュリティ評価

セキュリティ評価

CSIRT

CSIRT

システム監査

システム監査

過去問

過去問

第２章まとめ

第２章まとめ

マルウェア対策

マルウェア対策

不正アクセス対策

不正アクセス対策

情報漏えい対策

情報漏えい対策

アクセス管理

アクセス管理

人的対策

人的対策

知的財産権と個人情報の保護

知的財産権と個人情報の保護

セキュリティ関連法規

セキュリティ関連法規

その他法規やガイドライン

その他法規やガイドライン

ネットワーク

ネットワーク

考査試験

考査試験

選択問題

選択問題

データベース

データベース

システム戦略と構成要素

システム戦略と構成要素

セキュリティシステム戦略

セキュリティシステム戦略

企業の活動と統治

企業の活動と統治

模擬問題１

模擬問題１

間違い

間違い

考査試験

考査試験

ITパス問題　１

ITパス問題　１

問題一覧

大型分散型のDoS攻撃の事を何というか

DDoS攻撃

あるドメインにランダムなサブドメインをつけて、オープンリゾルバにお問合せをする攻撃方法を何というか

ランダムサブドメイン攻撃

不特定の端末に対して再帰的問い合わせを許す　キャッシュサーバの事を何というか

オープンリゾルバ

通信の疎通格に尿プロトコルであるICMPを大量に送信する攻撃方法を何というか　半角英数

ICMPFlood

疎通確認コマンドであるpingをブロードキャストアドレスに対して行い、返信先に攻撃対象のIPアドレスを設定する攻撃方法を何というか半角英数

smurf

アクセス制御をしているコンピュータへの攻撃やセキュリティーホールをついた攻撃への罪科を何というか

不正アクセス禁止法

大量の口座から１円ずつ預金を転送するなどして、ユーザーに気付かれないような窃盗を行う方法を何というか

サラミ法

IT技術によらず、人的な脆弱性を利用して情報を搾取する手法を何というか

ソーシャルエンジニアリング

ユーザIDやパスワードをタイプしているユーザの肩口からその様子を盗み見て情報を取得する方法を何というか

ショルダーハッキング

ゴミ箱に捨てた上布尾をつなぎ合わせて本来の重要な情報を復元する作業を何というか

スキャビンジング

上司や取引先など、自分にとって逆らいにくい相手からのメールに偽装して、偽の振り込みなどをさせる手法を何というか

BEC

共連れ

無断で送り付けられてくる広告メールや意味のない大量のメールの事を何というか

スパムメール

HTMLにスクリプトを埋め込める性質を利用した攻撃方法を何というか

クロスサイトスクリプティング

クロスサイトリクエストフォージェリ

脆弱性が見つかっているのに、それに対応する手段があない状態での攻撃を指す用語を何というか

ゼロデイ攻撃

データベースに送信するデータの中にSQL文を混入して不正にデータベースを操作する行為の事を何というか

SQLインジェクション

webページを閲覧するだけでマルウェアがダウンロード、実行される攻撃手法を何というか

ドライブバイダウンロード攻撃

パスワードリスト攻撃

情報セキュリティにおいてバックドアに該当する者はどれか

アクセスする際にパスワード認証などの正規の手続きが必要なWebサイトに、当該手続を経ないでアクセス可能なURL

DNSキャッシュポイズニングに該当する者はどれか

PCが問い合わせを行うDNSキャッシュサーバに偽のDNS応答を送ることによって、偽のドメイン情報を注入する

ディレクトリトラバーサル攻撃に該当する者はどれか

攻撃者が、バス名を使ってファイルを指定し、管理者の意図していないファイルを不正に閲覧する

BEC(Business E-mail Compromise)に該当する者はどれか

巧妙なだましの手口を駆使し、取り引き先に成りすまして偽の電子メールを送り金銭をだまし取る

ゼロデイ攻撃の特徴はどれか

脆弱性に対してセキュリティパッチが提供される前に当該脆弱性を悪用して攻撃する

Webサーバの検査におけるポートスキャナーの利用目的はどれか。

Webサーバで稼働しているサービスを列挙して,不要なサービスが稼働していないことを確認する。

情報セキュリティにおける脅威であるバッファオーバーフローの説明として,適切なものはどれか。

プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで,想定外の動作をさせる。

暗号解読の手法のうち,ブルートフォース攻撃はどれか。

与えられた1組の平文と暗号文に対し,総当たりで鍵を割り出す。

情報セキュリティの脅威であるキーロガーの説明として,適切なものはどれか。

キーボード入力を記録する仕組みを利用者のPCで動作させ,この記録を入手する。

不正アクセスを行う手段の一つであるIPスプーフィングの説明として,適切なものはどれか。

偽の送信元IPアドレスをもったパケットを送ること

TCP/IPネットワークにおけるARPの説明として,適切なものはどれか。

IPアドレスからMACアドレスを得るプロトコルである。

MITB(Man In The Browser)攻撃

フィッシングの手口に該当するものはどれか。

エ電子メールを発信して受信者を誘導し,実在する会社などを装った偽のWebサイトにアクセスさせ,個人情報をだまし取る。

DoS(Denial of Service)攻撃の説明として,適切なものはどれか。

電子メールやWebリクエストなどを大量に送りつけて,ネットワーク上のサービスを提供不能にすること

"あるドメイン"を管理する権威DNSサーバに対して負荷が掛かる。

ICMP Flood攻撃に該当するものはどれか。

pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。

不正アクセス禁止法による処罰の対象となる行為はどれか。

不正アクセスを行う目的で他人の利用者ID,パスワードを取得したが,これまでに不正アクセスは行っていない。

ソーシャルエンジニアリングに分類される手口はどれか。

システム管理者などを装い,利用者に問い合わせてパスワードを取得する。

特定電子メール送信適正化法で規制される,いわゆる迷惑メール(スパムメール)はどれか。

送信することの承諾を得ていない不特定多数の人に送った広告メール

クロスサイトスクリプティングに該当するものはどれか。

SQLインジェクション攻撃の説明はどれか。

DoS攻撃の一つであるSmurf攻撃はどれか。

偽装したICMPの要求パケットを送って,大量の応答パケットが攻撃対象に送られるようにする。

許された以上の行為をネットワークを介して意図的に行うことをOOと呼ぶ　OOに入る言葉は何か

不正サクセス

代表的な方法としては、メモリの格納可能な領域を超えるサイズのデータを送信するOOがある　 OOに入る言葉は何か

バッファオーバフロー攻撃

考えられるすべてのパスワードの組み合わせを試す攻撃をOOと呼ぶ　OOに入る言葉は何か

ブルートフォース攻撃

何らかの手段で入手したアカウントとパスワードの対を用いて、不正ログインを失効する手法をOOと呼ぶ OOに入る言葉は何か

パスワードリスト攻撃

侵入にかかる時間と手間を短縮するために、攻撃者はOOと呼ばれる進入路を確保する OOに入る言葉は何か

バックドア

ナットワーク場を流れるデータを取得する行為を何というか

盗聴

DNSサーバに偽の名前解決情報を記録させ、意図しないサーバと通信させる行為を何というか

DNSキャッシュポイズニング

管理者が意図していないディレクトリにアクセスを行う攻撃手法を何というか

ディレクトリトラバーサル

IPスプーフィング

第三者のコンピュータを介して、そのコンピュータからアクセスしているように見せかける攻撃手法を何というか

踏み台

マルウェアがぶらうざと　サーバの間に介入することによってブラウザの通信を乗っ取る攻撃を何というか

ＭＩＴＢ

なりすましなどで正規サイトに見せかけた詐欺サイトへ誘導するなどして、個人情報の入手や詐欺を行う手法を何というか

フィッシング

標的型攻撃

OOは、サーバに負荷を集中左折などしてサーバを使用不能に陥れる攻撃で、営業棒街などに利用される

DoS

ソーシャルエンジニアリング

上司や取引先など、自分にとって逆らいにくい相手からのメールに偽装して、偽の振り込みなどをさせる手法をOOという

BEC

OOとは、無断で送り付けられてくる広告メールや意味のない大量のメールを指す

スパムメール

OOはスクリプト攻撃の一種で、HTMLにスクリプトを埋め込める性質を利用して、コンピュータに被害を与える

クロスサイトスクリプティング

OOとは、脆弱性が見つかっているのに、それに対応する手段が用意されないうちに行われる攻撃のこと

ゼロデイ攻撃

OOとは、データベースに送信するデータの中でSQL文を混入させて、不正にデータベースを操作する行為

SQLインジェクション