問題
問87
情報セキュリティ上の脅威であるゼロデイ攻撃の手口を説明したものはどれか。
- 攻撃開始から24時間以内に、攻撃対象のシステムを停止させる。
- 潜伏期間がないウイルスによって、感染させた直後に発症させる。
- ソフトウェアの脆弱性への対策が公開される前に、脆弱性を悪用する。
- 話術や盗み聞きなどによって、他人から機密情報を直ちに入手する。
[出典:ITパスポート試験 平成30年度春期 問87]
正解
正解は「ウ」です。
解説
正解は「ソフトウェアの脆弱性への対策が公開される前に、脆弱性を悪用する。」です。ゼロデイ攻撃とは、ソフトウェアに存在する未知の脆弱性を悪用する攻撃のことです。開発者やセキュリティ研究者などがその脆弱性に気づき、対策(パッチの公開など)を行う前に攻撃が行われるため、「ゼロデイ(ゼロ日)」と呼ばれます。つまり、対策がまだ存在しない、あるいは公表されていない状態を狙って攻撃するため、防御が非常に困難なのが特徴です。
例えば、新しいスマートフォンアプリに、まだ発見されていないプログラムの欠陥(脆弱性)があったとします。攻撃者はその欠陥を利用して、アプリの利用者の個人情報を盗み出そうとしますが、アプリの開発者はその欠陥にまだ気づいていないため、対策を施すことができません。このような状況がゼロデイ攻撃にあたります。この攻撃は、発見されてから対策されるまでのわずかな時間に限られるため、被害が拡大しやすいという側面があります。
ア(攻撃開始から24時間以内に、攻撃対象のシステムを停止させる。):
これは、サービス拒否攻撃(DoS攻撃)や分散型サービス拒否攻撃(DDoS攻撃)の特徴であり、ゼロデイ攻撃とは異なります。DoS攻撃は、大量のデータを送りつけるなどして、サーバーやネットワークに負荷をかけ、サービスを停止させることを目的としています。
イ(潜伏期間がないウイルスによって、感染させた直後に発症させる。):
これは、一部のウイルスの特徴ではありますが、ゼロデイ攻撃そのものの定義ではありません。ゼロデイ攻撃は、未知の脆弱性を悪用する点で特徴づけられます。潜伏期間の有無は、攻撃手法の特性の一つに過ぎません。
エ(話術や盗み聞きなどによって、他人から機密情報を直ちに入手する。):
これは、ソーシャルエンジニアリングと呼ばれる攻撃手法であり、技術的な脆弱性を悪用するゼロデイ攻撃とは異なります。ソーシャルエンジニアリングは、人間の心理的な隙や行動のミスにつけ込んで情報を盗み出す手法です。
難易度
この問題は、ゼロデイ攻撃という専門用語の定義を問う問題です。ITセキュリティの基本的な知識があれば理解できますが、用語の正確な意味を理解していないと、他の選択肢と混同してしまう可能性があります。ITセキュリティに関する学習を始めたばかりの方にとっては、少し難しく感じるかもしれませんが、定義をしっかり覚えれば解ける問題です。
用語補足
ゼロデイ攻撃:
ソフトウェアに存在する、まだ発見・修正されていない未知の脆弱性を悪用して行われるサイバー攻撃のことです。対策が講じられる前の攻撃であるため、防御が困難なのが特徴です。
脆弱性:
ソフトウェアやシステムに存在する、セキュリティ上の弱点や欠陥のことです。この弱点を突かれると、不正アクセスや情報漏えいなどの被害につながる可能性があります。
DoS攻撃:
(Denial of Service attack)攻撃対象のサーバーやネットワークに大量のデータを送りつけるなどして、過負荷状態にし、サービスを提供できないようにする攻撃のことです。
ソーシャルエンジニアリング:
人間の心理的な隙や行動のミスにつけ込んで、パスワードなどの機密情報を盗み出す手法です。例えば、なりすましや詐欺などの手口がこれにあたります。
対策
ゼロデイ攻撃は、未知の脆弱性を悪用するという点が最大の特徴です。開発者も気づいていない弱点を突かれるため、対策が難しいという点を理解しておくことが重要です。他の選択肢(DoS攻撃やソーシャルエンジニアリング)は、攻撃手法が異なるため、ゼロデイ攻撃の定義と区別して覚えるようにしましょう。ITセキュリティの基礎用語を正確に理解することが、この問題を解く上での鍵となります。
