問題
問63
フィッシングの説明として、適切なものはどれか。
- ウイルスに感染している PCへ攻撃者がネットワークを利用して指令を送り、不正なプログラムを実行させること
- 金融機関などからの電子メールを装い、偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得すること
- パスワードに使われそうな文字列を網羅した辞書のデータを使用してパスワードを割り出すこと
- 複数のコンピュータから攻撃対象のサーバへ大量のパケットを送信し、サーバの機能を停止させること
[出典:ITパスポート試験 平成28年度春期 問63]
正解
正解は「イ」です。
解説
正解は「イ」です。フィッシングとは、金融機関や有名企業などを装った電子メールやSMS(ショートメッセージサービス)を送りつけ、その中に記載された偽のウェブサイト(偽サイト)へ誘導することで、利用者のIDやパスワード、クレジットカード情報などの重要な個人情報をだまし取る詐欺の手口のことです。
例えば、「お客様の口座に不正アクセスがありました。以下のURLから本人確認をお願いします」といった偽のメールが届き、焦ってURLをクリックすると、本物そっくりの偽サイトに誘導され、そこで入力した情報が盗まれてしまう、といったケースがこれに該当します。このように、インターネットを利用して、悪意のある攻撃者が巧妙にだまして情報を盗む行為がフィッシングです。
ア(ウイルスに感染しているPCへ攻撃者がネットワークを利用して指令を送り、不正なプログラムを実行させること):
この説明は、ボットや遠隔操作ウイルスなどのマルウェアによってコンピュータが外部から操られる状態を指しています。フィッシングとは異なる種類の攻撃です。
ウ(パスワードに使われそうな文字列を網羅した辞書のデータを使用してパスワードを割り出すこと):
これは辞書攻撃と呼ばれるパスワード解析手法の一つで、フィッシングとは異なります。辞書攻撃は、あらかじめ用意された単語リスト(辞書)を使ってパスワードを推測する攻撃方法です。
エ(複数のコンピュータから攻撃対象のサーバへ大量のパケットを送信し、サーバの機能を停止させること):
この説明は、DoS攻撃(サービス妨害攻撃)やDDoS攻撃を指しています。これは特定のサービスやウェブサイトの機能を停止させることを目的とした攻撃であり、情報をだまし取るフィッシングとは異なります。
難易度
この問題は、ITパスポート試験で頻出するサイバー攻撃の手法の一つである「フィッシング」について、その定義を正しく理解しているかを問う基礎的な問題です。選択肢の内容がそれぞれの攻撃手法の特徴を簡潔に説明しているため、それぞれの用語を学習していれば、比較的容易に正解にたどり着けるでしょう。情報セキュリティの基礎知識として重要な内容ですので、確実に理解しておきたい問題です。
用語補足
フィッシング:
金融機関や有名企業などを装って偽のウェブサイトへ誘導し、IDやパスワード、クレジットカード情報などの個人情報をだまし取る詐欺の手口です。例えば、銀行からのメールを装って「緊急のお知らせ」と偽り、クリックさせると偽サイトに繋がり情報を入力させる、といったケースです。
ボットネット:
悪意のあるソフトウェア(ボット)に感染した多数のコンピュータが、攻撃者によってネットワークを介して遠隔操作される集団のことです。感染したコンピュータは、攻撃者の指示に従って、スパムメールの送信やDDoS攻撃などに利用されます。まるで、攻撃者がたくさんのロボットを操って攻撃しているような状態です。
辞書攻撃:
パスワードクラックの一種で、辞書に載っている単語やよく使われるパスワードのリストを順番に試していき、パスワードを特定する攻撃手法です。例えば、「password」「123456」といった簡単なパスワードを設定していると、この攻撃で突破されてしまう可能性があります。
DoS攻撃:
Denial of Service(サービス妨害)攻撃の略で、特定のサーバーやネットワークに大量のアクセスを集中させることで、サービス提供を妨害し、システムをダウンさせたり、応答を遅くさせたりする攻撃です。まるで、人気店の前に大勢の人が殺到して、一般のお客さんがお店に入れないようにする、といった状況に似ています。
対策
この問題は、情報セキュリティにおける様々なサイバー攻撃の手法とその目的を正確に理解しているかがポイントになります。フィッシング、ボットネット、辞書攻撃、DoS攻撃といった代表的な攻撃手法について、それぞれどのような手口で、何を狙っているのかを区別できるよう学習しておくことが重要です。それぞれの用語の意味と具体的な攻撃例を紐づけて覚えることで、確実に得点できるようになります。
