【Iパス9問】攻撃問題を全部集めてみた
攻撃系の用語は、得点へ直結しくい学習コスパが悪い状況にあります。
なぜならITパスポートレベルでさえ、多数の攻撃手法がバラバラに出題され、なかなか得点につながりにくいから。
そこで、まずは3分野・計13種類の攻撃を覚えて、初見では消去法で解きつつ、新しく覚えていく戦略とします。
以上を学習した上で、読み進めるのがお薦めです。
なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、ちょっとでも信用してくれたら嬉しいです。
\全てのNoteへのリンク集/
まとめて覚えておくべき攻撃3分野
まず3分野、計13種類の攻撃を覚えることから始めます。
パスワードクラック:不正にログインしようとする攻撃
DoS攻撃:サーバへ大量アクセスして高負荷にする攻撃
Webサービス/アプリへの攻撃:Webへの入力機能を悪用した攻撃
軽くまとめますが、必ず詳細Noteで対策をしてから進めてくださいね。バラバラに出題されるので、学習の意味がなくなります。
パスワードクラック
ブルートフォース攻撃:パスワードにあらゆる文字の組み合わせ
リバースブルートフォース攻撃:IDにあらゆる文字の組み合わせ
パスワードリスト攻撃:別サイトで入手したIDとパスワードを流用
辞書攻撃:パスワードでよく使われそうな言葉
Webサービス/アプリを悪用した攻撃
XSS(クロスサイトスクリプティング):Webサイトに悪意のあるスクリプトを埋め込んで、閲覧者の訪問時に実行させ偽サイトに誘導する
XSRF(CSRF, クロスサイトリクエストフォージェリ):Webサイトに悪意のあるスクリプトを埋め込んで、閲覧者が気づかないうちに別サイトで意図しない操作をする
SQLインジェクション:データベースを不正利用する
BoF(バッファオーバーフロー):想定外の長大な入力をしてバッファをあふれさせ、攻撃者の用意したプログラムを実行させるなど誤動作させる
ディレクトリトラバーサル攻撃 :Webサーバ内のファイル・ディレクトリ構造を推測して、直接アクセスする攻撃
サーバーを高負荷にする攻撃
DoS攻撃:大量のパケットを送り付けてサービス不能にする攻撃
DDoS攻撃:多数の機器から1つのサーバにDoS攻撃をする
DRDoS攻撃:送信元を攻撃対象に詐称し、サーバに多数の問い合わせをし、返答を攻撃対象に集中させる攻撃
DNSamp攻撃:DRDoS攻撃の一種。DNSサーバに問い合わせをして、返答を攻撃対象に集中させる
問題演習 | 消去法で解き、都度覚えていく
では問題演習で、どんどん他の攻撃手法も覚えていきましょう。
必ず、上の3種類の攻撃を頭に叩き込んでから解いてくださいね。
IoT機器の1台がマルウェアに感染し、他のIoT機器に感染が拡大した。ある日ある時刻に、感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い、Webサイトのサービスを停止に追い込んだ。この攻撃を何と云うか
ア:DDoS攻撃
イ:クロスサイトスクリプティング(XSS)
ウ:辞書攻撃
エ:ソーシャルエンジニアリング
正答はア。多くの機器を用いているDoS攻撃なので。
イ:Webサイトへの利用者への攻撃
ウ:パスワード特定の試行する攻撃
エ:技術を駆使しないスパイ行為
珍しい問題なので消去法で良いです。
HTML形式の電子メールにて悪用する攻撃はどれか。
ア:DoS攻撃
イ:SQLインジェクション
ウ:悪意のあるスクリプトの実行
エ:辞書攻撃
正答はウ。
クロスサイトスクリプティング(XSS)では、Webページ(HTML)に悪意のあるスクリプト(JavaScriptなど)を埋め込んで、利用者が閲覧した時にWebブラウザでスクリプトが実行されます。
HTML形式のメールでも、メールはWebページと同じHTMLで書かれており、スクリプトの埋め込みが可能です。
消去法で解けるので覚える必要はありません。選択肢を見て分かる通り、攻撃名がついてませんからね。
攻撃対象とは別のWebサイトから盗み出した認証情報を流用し、標的とするWebサイトに不正侵入を試みる攻撃はどれか。
ア:DoS攻撃
イ:SQLインジェクション
ウ:パスワードリスト攻撃
エ:フィッシング
正答はウ。
フィッシングは、偽のメールやWebサイトによって、人を誘導して個人情報などを不正入手する手口全般のことです。いろんなひっかけ方があります。
Webサイトなどに不正なソフトウェアを潜ませておき、利用者がWebブラウザでアクセスしたときに、気づかれないうちにマルウェアを送り込む攻撃はどれか。
ア:DDoS攻撃
イ:SQLインジェクション
ウ:ドライブバイダウンロード
エ:フィッシング攻撃
正答はウ。単独で出題されることが多いです。
暗号資産(仮想通貨)を入手する作業(マイニング)を、他人のコンピュータを使って気づかれないように行うことを何と云うか。
ア:クリプトジャッキング
イ:ソーシャルエンジニアリング
ウ:バッファオーバーフロー(BoF)
エ:フィッシング
正答はア。今後もでるかもしれません。
クリックジャッキングも知っておきましょう。Webページで透明なリンクオブジェクトを置いて、利用者が誤ってクリックするよう仕向けることです。
ソシャゲのまとめサイトなどで、画面中央から下に移動しながら見えるようになってくる広告を見たことありますよね。スクールするときに誤って押してしまうこともあったと思います。
PCでWebサイトを閲覧しただけで、ウィルスなどを感染させる攻撃はどれか。
ア:DoS攻撃
イ:ソーシャルエンジニアリング
ウ:ドライブバイダウンロード
エ:バックドア
正答はウ。
エのバックドアは、いわば裏口。攻撃対象内に仕込まれた、侵入しやすくするプログラムや設定です。
コンピュータに不正侵入できた攻撃者が、再侵入を容易にするためにプログラムや設定変更を行うことがある。この手口を何と云うか。
ア:盗聴
イ:バックドア
ウ:フィッシング
エ:ポートスキャン
正答はイ。
ポートスキャンは、コンピュータの開いている通信ポートを探す行為です。攻撃者は侵入口を探すため、サーバ管理者は侵入口がないか探すために行います。
ポート番号を2つ知っておきましょう。
HTTP:80番:Web閲覧のためのプロトコル
SMTP:25番:メールの送信・転送のプロトコル
詳しくは、>>通信プロトコルの対策Note<< から学習を始めてください。
ゼロデイ攻撃の手口を説明したのはどれか。
ア:攻撃開始から24時間以内に、攻撃対象のシステムを停止させる
イ:潜伏期間がないウイルスによって、感染させた直後に発症させる
ウ:ソフトウェアの脆弱性への対策が配布される前に、脆弱性を悪用する
エ:話術や盗み聞きなどで、他人から機密情報を入手する
正答はウ。
なお、エはソーシャルエンジニアリング 。
ソーシャルエンジニアリングは、技術を使わないスパイ行為で、以下3つが良く出題されます。
ショルダーハッキング:他人の画面を肩越しに覗き見る
トラッシング(スキャベンジング):ゴミ箱をあさる
緊急事態を装って 、関係者を装って、聞き出す
オンラインバンキングにて、マルウェアなどでブラウザを乗っ取り、振込先の情報を不正に書き換えて、攻撃者の指定した口座に送金させるなどの不正操作を行う手口を何と云うか。
ア:MITB攻撃(Man In The Browser, マン・イン・ザ・ブラウザ)
イ:SQLインジェクション
ウ:ソーシャルエンジニアリング
エ:ブルートフォース攻撃
正答はア。サーバの中に不正を行う人(man)が居るということ。
ITパスポートでは珍しいので、今は消去法で解ければOK。
まとめ | バラ出しは簡単の裏返し
ここまで見てきたように、パスワードクラック・Webサーバへの攻撃などは、バラバラに選択肢に表れます。
3~5用語なので、まとめて出題されたいところでしょうが、キーワードで簡単に正解できますからね。簡単だからこその小細工です。
よって、学習コスパは悪いですが、パスワードクラック4種・サーバ入力系5種・サービス不能攻撃4種類をしっかり覚えて、消去法で解きつつ、1つずつ新しく学習していきましょう。
次は、DoS攻撃を基本情報技術者試験と混合でまとめたいです(未定)。
\全てのNoteへのリンク集/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ