検索技術者検定2級(2022年度・前半) 問9～12

39問 • 1年前

かおり

通報

問題一覧

ターゲットを特定の組織や個人に絞り、業務関連のメールを装ってウィルス付きのファイルを添付する、またはあくいのあるサイトに誘導するURLを貼り付けたメールを送信する等して、マルウェアに感染させようとするサイバー攻撃。

標的型攻撃

1台のパソコンを使って、ターゲットのサーバに過剰な負荷をかけたり、脆弱性をついたりすることでサービスを妨害する手法。

DoS攻撃

2020年に猛威を振るったコンピュータウィルス。一度終息したが、2021年11月後半から再び活動が観測される。不正なメールに添付されたWord・Excelファイルを開くことで端末に侵入すると、PowerShellが実行され、ダウンロードされる。個人情報や認証情報などを盗み取られたり、他の端末に伝染したりする。

Emotet

二者間の通信に、特別なソフトウェアなどの不正な手段を用いて第三者が割込み、傍受、盗聴して内容を取得する。

中間者攻撃

ソフトウェアなどのセキュリティーホールーが発見され、修正プログラムなどが未公表の時、その脆弱性を悪用する攻撃。

ゼロデイ攻撃

あらかじめ入手したID・パスワードを利用して、さまざまなWebサービスでのログインの試行を繰り返す攻撃。

パスワードリスト攻撃

身代金要求型ウィルス。画面のロックや、ファイルの暗号化・パスワード設定によりパソコンを使用不能とさせる。ユーザがアクセスすると、アクセス不可能であることを警告し、復元するために金銭の支払いを要求する。IPA(情報処理推進機構)が公開した「情報セキュリティ10大脅威2022」では1位となった。

ランサムウェア

正規のサービスになりすまし、ユーザからクレジットカード番号やユーザIDやパスワードなどのアカウント情報を盗み出す行為。

フィッシング詐欺

ターゲット企業のグループ会社、業務委託先、取引先など、小規模で対策があまり行き届いていない企業に攻撃を仕掛け、この企業を踏み台といてターゲット企業に侵入する。

サプライチェーン攻撃

ウェブ上で管理されるデータベースに攻撃を仕掛けるための一つの手法。攻撃する側はウェブの脆弱性に対して、コマンドを注入することで、データの書き換え、抜き取りなどさまざまな不正アクセスを行う。

SQLインジェクション

特定の個人や団体を狙う詐欺。相手の素性を調べた上で、関係者を装ってパスワードなどの個人情報を聞き出す手口が知られる。

スピアフィッシング

コンピューターネットワークを通じて攻撃を与える不正アクセスの一種。サービス拒否攻撃とよばれる手法の一つで、ウェブブラウザーの画面表示を更新するキー」を連打することで、ウェブサーバーに対し短時間に大量の負荷を与えることができる。近年はサーバーの性能やネットワークの環境が著しく向上したため、システムダウンには至らないとされる。

F5アタック

データを書き込む際に、はみ出したデータがそのまま破棄されたり、あらかじめ定められた領域を超えて記録されてしまったりすること。この事象を意図的に起こさせてソフトウェアを強制終了させたり、定められた領域を超えて記録される現象を悪用して、別のソフトウェアを実行させたりするものがある。

バッファオーバーフロー

Web上で使用されるCGIなどのプログラムの中にある脆弱性の1つ。悪意のあるWebサイトを閲覧すると、スクリプトを実行でき、クッキーの漏えい、ファイルの破損といった被害が発生する。対策としてはサニタイジング（入力の無害化）などが必要。

クロスサイトスクリプティング

2009年春ごろから日本で猛威を振るったコンピュータ・ウイルスの攻撃手法。コンピュータ・ウイルスを配布するよう改ざんされた、企業などのウェブサイトを表示したパソコンが感染する。感染したパソコンがウェブサイトの管理に利用されている場合、ウイルスが書き換えに必要なパスワードなどを盗んでそのサイトを改ざんしてしまい、新たにウイルスの配布に利用しようとする。

ガンブラー攻撃

クラッカーやウイルスがホストに不正侵入をするために作る「裏口」のことを指す。クラッカーがホストへの侵入に成功すると、次回以降は同じ侵入手順を踏まずに再侵入を簡単にする目的で、再侵入専用のサーバープログラムをそのホストに保存する。そしてクラッカーはこのバックドアを使って何度も侵入し、攻撃の足がかりにする。

バックドア

ウェブサイトを利用した悪意ある攻撃の一。無害に見えるウェブサイトだが、リンクやボタンなどに仕掛けが施されており、閲覧者がクリックすると、別のウェブサイトでの操作に反映されるというもの。

クリックジャッキング

盗まれたアカウント資格情報でWebアプリケーションなどのサービスに大規模な自動ログイン要求をおこなうことで、ユーザアカウントへの不正アクセスを試みる攻撃の一種である。アカウント資格情報は通常、ユーザ名や電子メールアドレスと対応するパスワードリストで構成される。

クレデンシャルスタッフィング攻撃

特定の組織や個人に対して、複数の手法を用いて継続的に行われる一連のサイバー攻撃の総称。標的型メールやソーシャルエンジニアリングなどさまざまな手法を組み合わせ、情報の不正取得や破壊行為など目的が達成されるまで執拗しつように繰り返される。組織構造や個人情報を調査した上で、対象を狙い撃ちする独自開発のコンピューターウイルスを送り込むため、既存のウイルス対策ソフトでは防御できない場合が多い。

APT攻撃

有名な企業やウェブサイトのものに似たドメイン名を取得し、利用者によるURLの入力ミスを悪用して別のウェブサイトに誘導する行為。広告が表示されるだけの場合もあるが、フィッシング詐欺やマルウエア感染などをねらう悪質なものもある。URLハイジャッキング。

タイポスクワッティング

ネットワークに侵入するためのIDやパスワードが書かれた紙等を組織のゴミ箱から見つけ出すなど、情報通信技術を利用せずに情報を盗むこと。

ソーシャルエンジニアリング

組織内・組織外関係なくあらゆる通信は信頼できないという考えのもと、組織外からの通信だけでなく組織内通信に対しても安全性の検証を行うことで、組織内・外どこからの脅威に対しても備えられるもの

ゼロトラストセキュリティモデル

ファイルを先方に送付するときにパスワード付き圧縮ファイルを添付した電子メールと、その解答パスワードを記載した電子メールを二回に分けて送ることで、ファイルの機密を確保しようとすること。組織のセキュリティ対策の向上に結び付かずむしろ危機にさらしているとして、この形式によるファイル送付やメール受信を禁止する官公庁や会社が増えつつある。

PPAP

ユーザが使うクライアント型コンピュータには最低限の機能しか持たせず、サーバ側でほとんどの処理をこなす方式。

シン・クライアント

Webサイトやソフトウェアにログインするときに、IDとパスワードのいずれかを複数回入力させるシステム。

二段階認証

インターネットなどの外部の信頼できないネットワークと、社内ネットワークなどの信頼できるネットワークの中間に置かれるセグメントであり、ここにサーバを設置することで、安全性と利便性のバランスをとることが可能になる。

DMZ

<インフォプロの業務に生じる影響の例> 会社支給のスマートフォンからもアクセスできるよう、社外向け情報ポータルサイトがあるサーバをインターネットからアクセスできるセグメントに設置したところ、前期サーバから社内の情報の原本がある場所にアクセスできない設定となっていた。

DMZ

<インフォプロの業務に生じる影響の例> データベースアクセス時に会社のイントラネットの掲示板に記載したIDやパスワードだけではなく、会社支給のスマートフォン上のアプリに表示されるパスワードの入力も必要とすることで、セキュリティ性が高まった。

ソーシャルエンジニアリング

<インフォプロの業務に生じる影響の例> 在宅勤務において各人の接続環境が千差万別であることから、組織外からは仮想デスクトップ上からのみデータベースへのアクセスを許可することで、マルウェア感染などによるデータの漏洩リスクが低減した。

シン・クライアント

<インフォプロの業務に生じる影響の例> 電子メールセキュリティが強化されてから、外部データベースを利用時に、検索結果ファイルの解凍パスワードが記載されたメールのみが届き、検索結果ファイルが添付されたメールが届かない現象がしばしば発生するようになった。原因を調査する過程で、ダウンロード結果のファイルサイズが多いくデータを圧縮しているときに発生していることが分かった。

PPAP

<インフォプロの業務に生じる影響の例> 社内ネットワーク限定でセキュリティが担保されていることを前提に、インハウスデータベースにマクロを駆使して利便性を向上させていたが、社内ネットワークのセキュリティ強化によって、マクロが利用禁止となり、別手段による対策が必要だった。

ゼロトラストセキュリティモデル

<インフォプロの業務に生じる影響の例> データベースを契約するときに、使う頻度が少ないために利用者よりも少ない数の同時アクセス数となるID数で契約した。しかし、社員以外による会社IDとパスワードを利用してアクセスしている不正アクセスが見つかった。原因を調べていると、在宅勤務時に利用できるようにIDとパスワードが記載されたイントラネットサイトを表示している社員がいることが判明した。

二段階認証

<次の英文について最も最適なものを解答群から選択せよ> Typically, we investigate the questions,identify relevant sources of information that might answer those questions, search those sources and retrieve documents.

質問を調査し、それらの質問に答えられる情報源を特定し、それらの情報源を検索して文書を取得する。

<次の英文について最も最適なものを解答群から選択せよ> Sometimes information specialists produce summaries of the most relevant information.

情報スペシャリストは最も関連性の高い情報の要約を作成する。

<次の英文について最も最適なものを解答群から選択せよ> New text mining tools, which analyse the frequency and relationship of words in texts, are growing in number and availability.

テキスト内の単語の頻度と関係を分析する新しいテキストマイニングツールは、数と可用性が増加している。

<<>内について、この類に【分類されないもの】を解答群から1つ選べ> <The A schedule ie for works that do not fit anywhere else in the schedules, because they do not have a defined or recognizable subject, or because they cover general knowledge.> General encyclopedias like Encyclopedia Britannica are classed here, as are periodicals like Time and Newsweek, and general newspapers.

図書館学

<<>内について、この類に【分類されないもの】を解答群から1つ選べ> <M, N, and P are for the arts.> Music has its own schedule. The visual arts like painting, drawing and sculpture are in N, and so are resources about architecture。 P is one of the largest schedules. It is used for resources on linguistics in general, as well as for resources about all of the world` s languages and literatures (that is, fiction, drama, and poetry), and also related topics like journalism and theater.

物理学

<<>内について、この類に【分類されないもの】を解答群から1つ選べ> <Q through Z are for the sciences.> Q, R, S, and T cover the hard and applied sciences, including chemistry, biology, physics, medicine, botany and agriculture, engineering, and much more.

軍事

<<>内について、【誤りのあるもの】を解答群から1つ選べ> <The letters I, 0, W, X, and Y are not used as main classes.> W is used by the National Library of Medicine, Y is used by the Government Printing Office. The letter I could be easily confused with the number I and the letter J. The letter O could be confused with the numeral 0 (zero).

I類は数字の1やl(エル)と間違いやすいので使われない。

検索技術者検定3級(2018年度)

検索技術者検定3級(2018年度)

検索技術者検定3級(2019年度)

検索技術者検定3級(2019年度)

検索技術者検定3級(練習問題A)