問題
問53
情報セキュリティの脅威の一つで、システムやネットワークの脆弱性を悪用して、意図しない処理を実行させたり、情報を窃取したりする攻撃を何と呼ぶか。
- DoS攻撃
- エクスプロイト攻撃
- ソーシャルエンジニアリング
- フィッシング
正解
正解は「イ」です。
解説
正解は「イ」のエクスプロイト攻撃です。エクスプロイト(exploit)とは、「悪用する」という意味の英単語で、情報セキュリティの分野では、ソフトウェアやハードウェアに存在する脆弱性(セキュリティ上の弱点)を悪用して攻撃を行うプログラムやコードのことを指します。そして、エクスプロイトを利用して行われる攻撃全般をエクスプロイト攻撃と呼びます。 攻撃者は、OSやアプリケーションの脆弱性を突き、不正なプログラムを実行させたり、システムに侵入して機密情報を盗み出したり、システムを乗っ取ったりします。
例えば、家の鍵の設計に欠陥(脆弱性)があることを見つけ出し、その欠陥を利用して特殊な道具(エクスプロイト)で鍵を開け、空き巣に入るようなものです。問題文の「脆弱性を悪用して、意図しない処理を実行させたり、情報を窃取したりする攻撃」という説明は、エクスプロイト攻撃の定義そのものです。
ア(DoS攻撃):
Denial of Service attackの略。サーバに大量のデータを送りつけるなどして過剰な負荷をかけ、サービスを停止に追い込む攻撃です。
ウ(ソーシャルエンジニアリング):
技術的な手法ではなく、人間の心理的な隙や油断につけ込んで、パスワードなどの重要な情報を盗み出す手法です。なりすましや盗み聞きなどが該当します。
エ(フィッシング):
金融機関などを装った偽のメールやWebサイトでユーザを騙し、IDやパスワード、クレジットカード情報などを不正に詐取する行為です。
解法のポイント
情報セキュリティの攻撃手法に関する問題では、攻撃の「対象」と「目的」を区別することが重要です。エクスプロイト攻撃のキーワードは「脆弱性の悪用」です。一方、DoS攻撃は「サービスの停止」、ソーシャルエンジニアリングやフィッシングは「人間を騙して情報を盗む」ことが目的です。このように、攻撃がシステムの技術的な弱点を突くものなのか、人間の心理的な弱点を突くものなのか、あるいはサービス妨害を目的とするものなのか、といった観点で分類すると理解しやすくなります。
用語補足
エクスプロイト攻撃:
システムの弱点(脆弱性)を悪用する攻撃です。城壁の壊れやすい部分を見つけて、そこから侵入するようなイメージです。
脆弱性(ぜいじゃくせい):
ソフトウェアの設計ミスやバグなどが原因で発生する、情報セキュリティ上の弱点のことです。セキュリティホールとも呼ばれます。
DoS攻撃:
サーバに大量のアクセスを集中させて、サービスを提供できない状態にする攻撃です。お店の電話にひっきりなしにイタズラ電話をかけ続けて、他の客が電話できないようにする行為に似ています。
ソーシャルエンジニアリング:
人の心巧みに操って情報を盗む手口です。電話で業者になりすましてパスワードを聞き出したり、肩越しにキーボード入力を盗み見たりする行為がこれにあたります。
