基本情報技術者 2019年秋期午前（科目A）問39

問題文

情報セキュリティにおいてバックドアに該当するものはどれか。

選択肢

ア：アクセスする際にパスワード認証などの正規の手続が必要なWebサイトに、当該手続を経ないでアクセス可能なURL（正解）

イ：インターネットに公開されているサーバのTCPポートの中からアクティブになっているポートを探して、稼働中のサービスを特定するためのツール

ウ：ネットワーク上の通信パケットを取得して通信内容を見るために設けられたスイッチのLANポート

エ：プログラムが確保するメモリ領域に、領域の大きさを超える長さの文字列を入力してあふれさせ、ダウンさせる攻撃

バックドアに該当するものはどれか【午前2 解説】

要点まとめ

結論：正解はア。正規の認証手続きを経ないでアクセスできる隠れた入り口はバックドアに該当します。
根拠：バックドアとは認証やアクセス制御を回避する恒久的または秘密のアクセス経路を指し、選択肢の他は別概念です。
差がつくポイント：問題では「認証を経ないでアクセス可能か」を基準に判断すると速く正確に答えられます。秘密URLは典型例です。

正解の理由

アは「アクセスする際にパスワード認証などの正規の手続が必要なWebサイトに、当該手続を経ないでアクセス可能なURL」であり、認証や正規手続きを回避してアクセスできる隠れた経路を示しています。これがバックドアの本質で、攻撃者や内部者が恒常的に不正アクセスするために使われることがあります。したがってアが正解です。

よくある誤解

秘密のURL＝安全、という誤解：単に見つけにくいだけでは安全性の担保になりません（セキュリティ・スルー・オブスキュリティ）。
バックドアは常にソフトウェアのコード内だけにある、という誤解：設定ミス・管理用の隠し入口・ハードウェア側の仕込みなど多様です。
ポートスキャンやパケット取得を見たらそれ自体がバックドア、という誤解：それらは調査・攻撃手段や監視手段であり、バックドアとは定義が異なります。

解法ステップ

問題文の「バックドア」の定義（認証回避や隠れたアクセス経路）を頭に入れる。
各選択肢を「認証を経ずに恒久的にアクセスできるか」で評価する。
認証回避の特徴を満たす選択肢を正解とする（アが該当）。

選択肢別の誤答解説

ア: アクセスに正規手続が必要なWebサイトへ、手続きを経ないでアクセス可能なURL。認証回避の隠し入口であり、これがバックドアに該当するため正解です。
イ: インターネット公開サーバのアクティブなTCPポートを探すツール（ポートスキャナ）。探索・診断・攻撃準備のツールであり、バックドアそのものではありません。
ウ: ネットワーク上の通信パケットを取得するためのスイッチのLANポート（ミラーポート／SPAN）。監視・解析用途の装置／ポートであってバックドアではありません。
エ: メモリ領域をあふれさせてクラッシュさせる攻撃（バッファオーバーフロー攻撃）。脆弱性を突く攻撃手法であり、直接の「隠し入り口（バックドア）」とは区別されます。ただし、バッファオーバーフローを利用して攻撃者がバックドアを仕込むことはあり得ます。

補足コラム

バックドアには開発者がデバッグ用に残すもの、攻撃者が侵入後に設置するもの、旧管理者アカウントや設定ミスによるものなど種類があります。検出にはログ監視、アクセス権の見直し、ファイル整合性チェック、ネットワーク挙動分析（異常なURLアクセスや定期的な外部通信）などが有効です。運用面では最小権限原則、秘密のURL・鍵の管理、不要サービスの無効化が重要です。

FAQ

Q: 秘密の管理者用URLを置くのはバックドアと同じですか？
A: 実質的にはバックドアと同じリスクを持ちます。認証が不十分なまま運用するとバックドアと見なされうるため推奨されません。

Q: ポートスキャナ（イ）は違法行為ですか？
A: スキャン自体は診断目的で使われますが、許可なく他者のシステムをスキャンすると不正アクセスの疑いを招くため注意が必要です。

Q: バッファオーバーフロー（エ）とバックドアは関係ありますか？
A: 直接の同義語ではありませんが、バッファオーバーフローを悪用してシェルや恒久的なアクセス手段（バックドア）を設置することは技術的に可能です。

関連キーワード: バックドア、不正アクセス、認証回避、ポートスキャン、パケットキャプチャ、バッファオーバーフロー、ネットワークセキュリティ、ログ監視、最小権限原則

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！