ITパスポート 2013年 秋期 問74
問題文
ゼロデイ攻撃の説明として、適切なものはどれか。
選択肢
ア:TCP/IPのプロトコルのポート番号を順番に変えながらサーバにアクセスし、侵入口と成り得る脆弱なポートがないかどうかを調べる攻撃
イ:システムの管理者や利用者などから、巧妙な話術や盗み見などによって、パスワードなどのセキュリティ上重要な情報を入手して、利用者になりすましてシステムに侵入する攻撃
ウ:ソフトウェアに脆弱性が存在することが判明したとき、そのソフトウェアの修正プログラムがベンダから提供される前に、判明した脆弱性を利用して行われる攻撃(正解)
エ:パスワードの割り出しや暗号の解読を行うために、辞書にある単語を大文字と小文字を混在させたり数字を加えたりすることで、生成した文字列を手当たり次第に試みる攻撃
🔒 解説は解答すると表示されます
ゼロデイ攻撃の説明【ITパスポート 解説】
正解の理由
選択肢の中で、ソフトウェアの脆弱性(セキュリティの弱点)を攻撃者が「修正プログラム(パッチ)が提供される前」に利用して行う攻撃を説明しているのが、ウです。
ここで言う「修正プログラム(パッチ)」は、ソフトウェアの不具合や脆弱性を直すための更新ファイルのことです。攻撃者が脆弱性を見つけて、その脆弱性を利用した攻撃(エクスプロイト:exploit)を行う段階で、まだベンダ(vendor:ソフトやサービスを作る会社)からパッチが出ていない状態を狙うのがゼロデイ攻撃です。パッチが未提供のため防ぎようがないケースが多く、特に危険です。
ここで言う「修正プログラム(パッチ)」は、ソフトウェアの不具合や脆弱性を直すための更新ファイルのことです。攻撃者が脆弱性を見つけて、その脆弱性を利用した攻撃(エクスプロイト:exploit)を行う段階で、まだベンダ(vendor:ソフトやサービスを作る会社)からパッチが出ていない状態を狙うのがゼロデイ攻撃です。パッチが未提供のため防ぎようがないケースが多く、特に危険です。
解法ステップ
- 問題文のキーワードを探す:「修正プログラムがベンダから提供される前」や「脆弱性を利用して行われる攻撃」という表現に注目します。
- 各選択肢の意味を短く整理する:
- ア:ポートスキャン(後述) → 脆弱性発見の手法
- イ:ソーシャルエンジニアリング(人を騙す手口)
- ウ:脆弱性が判明してパッチ前に攻撃 → ゼロデイの説明に一致
- エ:辞書攻撃/総当たりに近い → パスワード破り
- 「提供される前に」という時点が「まだ対策(パッチ)ができない状態」を示すため、ゼロデイの定義に合う選択肢を選びます。
選択肢別の誤答解説
- ア: TCP/IPのプロトコルのポート番号を順番に変えながらサーバにアクセスし、脆弱なポートを調べる攻撃
- これはポートスキャン(port scan:通信で使う入口=ポートを探す行為)を説明しています。脆弱性を探す手法の一つであって、ゼロデイ攻撃そのものではありません。TCP/IP(Transmission Control Protocol/Internet Protocol:通信の基本規約)という言葉も初心者は押さえておきましょう。
- イ: 管理者や利用者から話術や盗み見で情報を入手する攻撃
- これはソーシャルエンジニアリング(social engineering:人の心理をついて情報をだまし取る手法)です。人的なだまし取りなので、ゼロデイとは別類です。
- ウ: ソフトウェアに脆弱性が判明し、修正プログラムがベンダから提供される前に行われる攻撃
- 正しい選択肢です。脆弱性が公になるか発見されるタイミングで、まだパッチがない状態を突いて攻撃します。これがゼロデイ攻撃の本質です。
- エ: 辞書にある単語を大文字小文字や数字で変えて試す攻撃
- これは辞書攻撃やブルートフォース(総当たり)に近い説明です。パスワードを当てる手法で、ゼロデイとは目的と手段が異なります。
よくある誤解
- 誤解1:ゼロデイは「ベンダも知らない脆弱性」だけを指す
- 実務では「ベンダがパッチを出していない状態で攻撃が行われること」を指すのが重要です。ベンダが既に把握していても、修正(パッチ)が間に合っていなければゼロデイとなり得ます。
- 誤解2:ゼロデイは小さなソフトだけの問題と思い込む
- 大手製品や広く使われるソフトでも発生します。利用者数が多いほど影響が大きくなるため、逆に狙われやすいです。
- 誤解3:パッチが出れば完全に安全になる
- パッチ適用は重要ですが、適用前に既に侵入されている場合や、パッチで対応しきれない別の攻撃経路がある場合もあります。多層防御(複数の対策)を考える必要があります。
補足コラム
- 対策の考え方:ゼロデイを完全に防ぐのは難しいため、「検知」と「被害最小化」が重要です。
- WAF(Web Application Firewall:ウェブアプリを保護する装置)やIDS/IPS(IDS: Intrusion Detection System:侵入検知システム、IPS: Intrusion Prevention System:侵入防止システム)を導入することで、既知・未知の攻撃の兆候を監視できます。
- また、ソフトの自動更新や脆弱性情報の監視、最小権限運用(必要最小限のアクセス権だけを与える)も有効です。
- 情報公開の流れ:脆弱性は発見→報告→ベンダ対応→パッチ公開の流れを取ります。ゼロデイはこの「パッチ公開前」に攻撃される点がポイントです。
- 余談:ブラックマーケットではゼロデイ脆弱性が売買されることがあります。これが高リスクの一因です。
FAQ
Q1: ゼロデイ攻撃を完全に防ぐ方法はありますか?
A1: 完全な防御は難しいです。ただし、WAFやIDS/IPS、ふるまい検知、アクセス権の制限、ログ監視、迅速なパッチ適用などを組み合わせることで被害を大幅に減らせます。
A1: 完全な防御は難しいです。ただし、WAFやIDS/IPS、ふるまい検知、アクセス権の制限、ログ監視、迅速なパッチ適用などを組み合わせることで被害を大幅に減らせます。
Q2: 「ゼロデイ」と「既知の脆弱性」はどう違いますか?
A2: 既知の脆弱性はパッチが出ているか、対策方法が知られている脆弱性です。ゼロデイはパッチが未提供で、攻撃に使われる可能性がある脆弱性を指します。
A2: 既知の脆弱性はパッチが出ているか、対策方法が知られている脆弱性です。ゼロデイはパッチが未提供で、攻撃に使われる可能性がある脆弱性を指します。
Q3: 個人のスマホやPCもゼロデイの対象になりますか?
A3: なります。広く使われているOSやアプリは攻撃対象になりやすいです。定期的なアップデートと不審なアプリの排除が大事です。
A3: なります。広く使われているOSやアプリは攻撃対象になりやすいです。定期的なアップデートと不審なアプリの排除が大事です。
関連キーワード: ゼロデイ攻撃、脆弱性、パッチ、エクスプロイト、ポートスキャン、ソーシャルエンジニアリング、ブルートフォース攻撃、脆弱性公開、WAF、IDS/IP S

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

