ホーム > 情報処理安全確保支援士試験 > 2022年 春期
情報処理安全確保支援士試験 2022年 春期 午前2 問05
標的型攻撃における攻撃者の行動をモデル化したものの一つにサイバーキルチェーンがあり、攻撃者の行動を7段階に分類している。標的とした会社に対する攻撃者の行動のうち、偵察の段階に分類されるものはどれか。
ア:攻撃者がインターネットに公開されていない社内ポータルサイトから会社の組織図、従業員情報、メールアドレスなどを入手する。
イ:攻撃者が会社の役員が登録しているSNSサイトから攻撃対象の人間関係、趣味などを推定する。(正解)
ウ:攻撃者が取引先になりすまして標的とした会社にマルウェアを添付した攻撃メールを送付する。
エ:攻撃者がボットに感染したPCを遠隔操作して社内ネットワーク上のPCを次々にマルウェア感染させて、利用者IDとパスワードを入手する。
解説
標的型攻撃における偵察段階の行動とは【午前2 解説】
要点まとめ
- 結論:偵察段階は攻撃対象の情報収集を目的とし、公開情報から人間関係や趣味などを調査する行動が該当します。
- 根拠:サイバーキルチェーンの偵察(Reconnaissance)は、攻撃前にターゲットの詳細情報を集める段階であり、SNSなどの公開情報が主な情報源です。
- 差がつくポイント:公開情報の収集と非公開情報の不正取得の違いを理解し、偵察段階と侵入段階の行動を区別できることが重要です。
正解の理由
選択肢イは、攻撃者が会社の役員が登録しているSNSサイトから人間関係や趣味などの情報を推定しています。これは公開されている情報を収集し、攻撃計画の基礎データを得る行為であり、サイバーキルチェーンの最初の段階である偵察に該当します。SNSは攻撃者にとって重要な情報源であり、標的の人物像を把握するために活用されます。
よくある誤解
偵察段階は単に情報を盗むことではなく、公開情報の収集が中心です。非公開情報の不正取得は後の段階に分類されるため混同しやすい点に注意が必要です。
解法ステップ
- サイバーキルチェーンの7段階を理解する(偵察、武器化、配布、侵入、設置、指令・制御、目的達成)。
- 偵察段階は攻撃前の情報収集であることを確認する。
- 選択肢の行動が公開情報の収集か、不正アクセスや侵入かを判別する。
- 公開情報の収集に該当する選択肢を選ぶ。
- 他の選択肢が後の段階(侵入や拡散)に該当することを理解し除外する。
選択肢別の誤答解説
- ア: 社内ポータルサイトからの情報入手は非公開情報の不正取得であり、偵察ではなく侵入後の情報収集に近い。
- イ: 公開されているSNS情報の収集であり、偵察段階に該当する正解。
- ウ: マルウェア添付の攻撃メール送付は配布や侵入段階の行動であり、偵察ではない。
- エ: ボット感染PCを使ったマルウェア拡散と認証情報の入手は侵入後の活動であり偵察段階ではない。
補足コラム
サイバーキルチェーンはロッキーマウンテン研究所が提唱した攻撃モデルで、攻撃者の行動を段階的に分析し防御策を立てるために有効です。偵察段階で得た情報を基に、攻撃者は標的に合わせた攻撃手法を選択します。SNSの情報は特に標的型攻撃で重要視されており、個人情報の管理がセキュリティ対策の鍵となります。
FAQ
Q: 偵察段階での情報収集は違法ですか?
A: 公開情報の収集自体は違法ではありませんが、非公開情報の不正取得は違法行為です。
A: 公開情報の収集自体は違法ではありませんが、非公開情報の不正取得は違法行為です。
Q: サイバーキルチェーンの他の段階にはどんなものがありますか?
A: 武器化、配布、侵入、設置、指令・制御、目的達成の6段階が続きます。
A: 武器化、配布、侵入、設置、指令・制御、目的達成の6段階が続きます。
関連キーワード: サイバーキルチェーン, 偵察段階, 標的型攻撃, 情報収集, SNS情報, マルウェア, 攻撃モデル