中小企業診断士 過去問
令和6年度(2024年)
問179 (経営情報システム 問18)
問題文
このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。
問題
中小企業診断士試験 令和6年度(2024年) 問179(経営情報システム 問18) (訂正依頼・報告はこちら)
- 機密情報を盗み取ることなどを目的として、特定の組織や個人を狙って行うサイバー攻撃のことである。
- サイバー攻撃への対策が手薄な関連企業などを踏み台にして、狙った企業へ攻撃を行うことである。
- サイバー攻撃を目的としたツール・サービスや、サイバー攻撃によって手に入れた個人情報などを金銭でやり取りするサービスのことである。
- 情報通信技術を使用せずに、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことである。
- 脆弱性に対する修正プログラム(パッチ)や回避策が公開される前に脆弱性を悪用して行われるサイバー攻撃のことである。
正解!素晴らしいです
残念...
この過去問の解説 (3件)
01
サイバー攻撃の中には、ソフトウェアの欠陥(脆弱性)を見つけ、それが直される前に悪用するような手口があります。
このような攻撃は、特に対策が間に合わないうちに行われるため、大きな被害につながることがあります。
→ これは標的型攻撃(ターゲット型攻撃)の説明です。
たとえば、特定の会社や団体の機密情報を盗み出すために、その相手だけを狙ってウイルスを送り込むような方法です。
誰でも被害にあうわけではなく、あらかじめ狙いを定めて行います。
→ これはサプライチェーン攻撃の説明です。
たとえば、大きな会社がしっかり対策している場合でも、取引先の小さな会社が攻撃に弱ければ、そこを最初に攻撃して、つながりを通じて本来の目的の企業へ侵入します。
→ これはダークウェブやアンダーグラウンドマーケットに関する説明です。
ハッキングツールや盗んだ情報(クレジットカード番号、パスワードなど)が、見つけにくい場所で売買されることがあります。
これはサイバー攻撃の結果としての行動であり、ゼロデイ攻撃の内容そのものとは違います。
→ これはソーシャルエンジニアリングという攻撃方法の説明です。
たとえば「システム管理者のふりをして電話をかけ、パスワードを聞き出す」などの、人の性格や油断につけこむ手口です。
→ この説明がゼロデイ攻撃です。
「ゼロデイ」とは、ソフトウェアの開発者が欠陥に気づいてからユーザーが対策を打てるまでに1日も余裕がない(0日)という意味です。
このような欠陥が悪用されると、誰も守る準備ができていないので被害が大きくなります。
特にウイルス対策ソフトやファイアウォールでも防げない場合があるため、非常に危険です。
参考になった数27
この解説の修正を提案する
02
ゼロデイ攻撃に関する問題です。
「ゼロデイ(Zero-Day)」という用語の意味合いと、各選択肢での記述がゼロデイ攻撃以外のものであることが判断できれば、消去法で正答にたどり着くことが可能です。
機密情報を盗み取ることなどを目的として特定の組織や個人を狙って行うサイバー攻撃は、 標的型攻撃(targeted attack)です。
関係者の名前を使い、いかにも業務上のやり取りであるかのように装って添付ファイルを開封させたり、リンク先をクリックさせて不正アクセスや情報漏えいを誘発するため不適切な選択肢です。
サイバー攻撃への対策が手薄な関連企業などを踏み台にして狙った企業へ攻撃を行うことは、サプライチェーン攻撃です。
組織間の業務上の繋がり(サプライチェーン)を辿って、セキュリティ対策が手薄な中小企業などを含む取引先企業を経由して最終的には標的企業を狙うサイバー攻撃であることから不適切な選択肢です。
サイバー攻撃を目的としたツール・サービスや、サイバー攻撃によって手に入れた個人情報などを金銭でやり取りするサービスは、アンダーグラウンドサービスです。
例として、ダークウェブ、ボットネット、情報窃取ウイルスなどがあり不適切な選択肢です。
情報通信技術を使用せずに、人間の心理的な隙などを突いてコンピュータに侵入するための情報を盗み出すことは、ソーシャルエンジニアリングです。
従来から存在する手法で、コンピュータの背後からパスワードを盗み見する、誕生日や電話番号などからパスワードを推測する、ゴミ箱からパスワードが書かれた紙を見つけ出すというアナログな手法があり不適切な選択肢です。
脆弱性に対する修正プログラム(パッチ)や回避策が公開される前に脆弱性を悪用して行われるサイバー攻撃は、ゼロデイ攻撃に関する記述として最も適切です。
脆弱性が判明した直後であり、修正までの期間が0日であることを意味するため正解の選択肢となります。
【補足】
企業の機密情報を盗み出し、情報を流出させると脅して身代金を要求するなど、サイバー攻撃はビジネスとして行なわれています。
中小企業では人員不足や対策に充てる費用が捻出できないなどの理由でサイバー攻撃に対して脆弱であることが多く、今後も頻度高く出題され続けると思われます。
参考になった数11
この解説の修正を提案する
03
ゼロデイ攻撃に関する出題です。
ゼロデイ攻撃とは、OSやソフトウェアの脆弱性が発見された際に、
メーカーが修正プログラムを配布する前に、
その脆弱性を利用して行われる攻撃です。
修正プログラムが適用される前の「ゼロ日」に攻撃が行われることから、
ゼロデイ攻撃と呼ばれます。
不適切
本肢は標的型攻撃に関する記述となっています。
標的型攻撃は、例えば、特定企業の従業員がメール内のリンクをクリックしたり、
添付ファイルを開くように巧妙に作り込まれたメールが該当します。
不適切
本肢はサプライチェーン攻撃に関する記述となっています。
サプライチェーン攻撃では、
ターゲット企業の関連企業や取引先を経由して、
間接的にターゲット企業に対する攻撃を行います。
不適切
本肢はアンダーグラウンドサービスに関する記述となっています。
サイバー攻撃そのものに関する記述ではありません。
不適切
本肢はソーシャルエンジニアリングに関する記述となっています。
ソーシャルエンジニアリングの例としては、
フィッシング、パスワードを盗み見する、電話で個人情報を聞き出す、
廃棄された書類やデータから情報を盗み取る、などの手段が該当します。
適切
冒頭の解説に示すように、ゼロデイ攻撃を表しており適切な記述です。
本問では、「ゼロデイ」の言葉の意味や消去法で正答にたどりつくことが可能です。
もっとも、中小企業にとって情報セキュリティ対策は、
リソース不足の面でも課題であることが多いことから、
今後も注目度の高い論点であることが予想されます。
参考になった数3
この解説の修正を提案する
前の問題(問178)へ
令和6年度(2024年) 問題一覧
次の問題(問181)へ