問題
問73
Webサービスを狙った攻撃に関する記述と攻撃の名称の適切な組合せはどれか。
- a Webサービスが利用しているソフトウェアに脆弱性の存在が判明したとき、その修正プログラムが提供される前に、この脆弱性を突いて攻撃する。
- b 複数のコンピュータから大量のパケットを一斉に送り付けることによって、Webサービスを正常に提供できなくさせる。
- c 理論的にあり得るパスワードのパターンを順次試すことによって、正しいパスワードを見つけ、攻撃対象のWebサービスに侵入する。
[出典:ITパスポート試験 令和7年度 問73]
スポンサーリンク
正解
正解は「ウ」です。
解説
この問題は、Webサービスに対する代表的な攻撃手法について、それぞれの定義と名称を正しく対応づける問題です。まずaの記述は、修正プログラムが提供される前の脆弱性を突いて攻撃するものなので「ゼロデイ攻撃」が該当します。
次にbの記述は、複数のコンピュータから大量のパケットを送ってサービス妨害を行う攻撃であるため、これは「DDoS攻撃」に該当します。最後のcの記述は、全ての可能なパスワードを順に試して正解を探す手法で、これは「ブルートフォース攻撃」に該当します。
これらの対応関係をすべて正しく満たすのは選択肢「ウ(a:ゼロデイ攻撃、b:DDoS攻撃、c:ブルートフォース攻撃)」です。これらの攻撃手法はITパスポート試験でも頻出であり、名称と特徴をセットで覚えることが重要です。
ア(DDoS攻撃 / ゼロデイ攻撃 / ブルートフォース攻撃):
aとbの順番が逆になっており、用語の定義と合致しません。
イ(DDoS攻撃 / ブルートフォース攻撃 / ゼロデイ攻撃):
aとcの攻撃名が入れ替わっており、それぞれの内容に適合していません。
エ(ゼロデイ攻撃 / ブルートフォース攻撃 / DDoS攻撃):
bとcの攻撃名が逆に対応されており、記述内容と一致していません。
難易度
この問題はそれぞれの攻撃手法の定義を覚えていれば解けるため、セキュリティ用語に関する基本的な知識がある受験者にとっては易しい問題です。ただし、名称と特徴を混同していると誤答しやすいため、初学者は注意が必要です。
スポンサーリンク
用語補足
ゼロデイ攻撃:
ソフトウェアに脆弱性が発見された直後、修正プログラムが提供される前の「対処されていない初日の脆弱性」を狙って行う攻撃です。
DDoS攻撃:
複数のコンピュータを使ってターゲットに対し大量のデータを送信し、サービスをダウンさせる攻撃手法です。典型的にはボットネットが使われます。
ブルートフォース攻撃:
考えられるすべてのパスワードの組合せを順に試すことで、パスワードを突破しようとする攻撃です。例:0000~9999を順に試すなど。
対策
セキュリティ分野では代表的な攻撃手法の定義と特徴をしっかり覚えておくことが重要です。DDoS、ゼロデイ、ブルートフォース攻撃は頻出用語のため、名前と特徴をセットで暗記し、過去問などで繰り返し確認することで定着を図りましょう。
