問題
問80
情報セキュリティを脅かすもののうち、ソフトウェアの脆弱性を修正するパッチを適用することが最も有効な対策となるものはどれか。
- 総当たり攻撃
- ソーシャルエンジニアリング
- バッファオーバフロー
- ポートスキャン
[出典:ITパスポート試験 平成29年度春期 問80]
正解
正解は「ウ」です。
解説
正解は「ウ」のバッファオーバフローです。 バッファオーバフローとは、プログラムが想定しているデータ量を超えるデータを送り込むことで、メモリ領域を溢れさせ、不正なプログラムを実行させる攻撃のことです。これはソフトウェアの「脆弱性」を悪用する代表的な攻撃の一つです。 このような脆弱性に対しては、その問題を修正するための「パッチ」を適用することが最も直接的で有効な対策となります。
パッチとは、ソフトウェアの不具合や脆弱性を修正するために提供されるプログラムの一部です。例えば、家に鍵の壊れた窓があった場合、その窓(ソフトウェアの脆弱性)を修理(パッチ適用)することが、泥棒(攻撃者)の侵入(攻撃)を防ぐ最も効果的な方法であるのと同じです。 他の選択肢の攻撃は、ソフトウェアの脆弱性とは異なる原因に対して行われるため、パッチ適用が直接的な対策とはなりません。
ア(総当たり攻撃):
総当たり攻撃は、パスワードの組み合わせを片っ端から試す攻撃です。これはシステムの脆弱性ではなく、パスワードの強度に関する問題であり、パッチ適用は直接的な対策にはなりません。
イ(ソーシャルエンジニアリング):
ソーシャルエンジニアリングは、人の心理的な隙や不注意を突いて機密情報を盗む行為です。これは技術的な脆弱性ではなく、人間心理を悪用した攻撃であり、パッチ適用では防ぐことができません。教育や意識向上が対策となります。
エ(ポートスキャン):
ポートスキャンは、コンピュータやネットワーク機器が外部に公開している通信ポートを調べて、どのようなサービスが稼働しているかを探る行為です。これは攻撃の準備段階であり、それ自体が直接的な攻撃ではありません。パッチ適用は直接的な対策にはなりません。
難易度
この問題は、情報セキュリティに関する基本的な知識があれば比較的解きやすい部類に入ります。特に、ソフトウェアの脆弱性とパッチの関連性を理解していれば、正解の選択肢を特定できるでしょう。各攻撃手法の内容を区別できるかがポイントとなります。ITパスポート試験のセキュリティ分野では頻出のテーマですので、しっかり学習していれば迷うことは少ないはずです。
用語補足
脆弱性:
情報システムにおけるセキュリティ上の欠陥や弱点のことです。これにより、外部からの不正アクセスや攻撃を受けやすくなる可能性があります。例えば、家の窓に鍵が壊れている部分がある場合、それが「脆弱性」に当たります。
パッチ:
ソフトウェアのバグ(不具合)や脆弱性を修正するために、後から追加されるプログラムの一部です。ソフトウェアの更新プログラムとも言われます。壊れた鍵の窓を修理するための部品や修理作業そのものに例えられます。
バッファオーバフロー:
プログラムが確保したメモリ領域(バッファ)に、想定以上のデータを送り込むことで、メモリ領域を溢れさせ、不正なプログラムを実行させる攻撃です。例えば、コップ(バッファ)に水を注ぎすぎると溢れてしまう(オーバーフロー)ような状態を悪用するものです。
総当たり攻撃:
パスワードや暗号鍵などを特定するために、考えられるすべての組み合わせを一つずつ試していく攻撃手法です。例えば、金庫の暗証番号を、0000から9999まで順番にすべて試すようなイメージです。
対策
この問題を解くためのポイントは、「ソフトウェアの脆弱性を修正するパッチ」というキーワードと、各攻撃手法の内容を正しく結びつけることです。パッチはソフトウェアの欠陥を直すものですから、ソフトウェアの欠陥(脆弱性)を直接突く攻撃が正解となります。各セキュリティ用語の定義と、それに対する主な対策をセットで覚えるようにしましょう。日頃から最新のセキュリティニュースにも目を通すと、理解が深まります。
