中小企業診断士 過去問
令和6年度（2024年）
問179 (経営情報システム 問18)

→ これは標的型攻撃（ターゲット型攻撃）の説明です。
たとえば、特定の会社や団体の機密情報を盗み出すために、その相手だけを狙ってウイルスを送り込むような方法です。

誰でも被害にあうわけではなく、あらかじめ狙いを定めて行います。

→ これはサプライチェーン攻撃の説明です。
たとえば、大きな会社がしっかり対策している場合でも、取引先の小さな会社が攻撃に弱ければ、そこを最初に攻撃して、つながりを通じて本来の目的の企業へ侵入します。

→ これはダークウェブやアンダーグラウンドマーケットに関する説明です。
ハッキングツールや盗んだ情報（クレジットカード番号、パスワードなど）が、見つけにくい場所で売買されることがあります。
これはサイバー攻撃の結果としての行動であり、ゼロデイ攻撃の内容そのものとは違います。

→ これはソーシャルエンジニアリングという攻撃方法の説明です。
たとえば「システム管理者のふりをして電話をかけ、パスワードを聞き出す」などの、人の性格や油断につけこむ手口です。

→ この説明がゼロデイ攻撃です。
「ゼロデイ」とは、ソフトウェアの開発者が欠陥に気づいてからユーザーが対策を打てるまでに1日も余裕がない（0日）という意味です。

このような欠陥が悪用されると、誰も守る準備ができていないので被害が大きくなります。
特にウイルス対策ソフトやファイアウォールでも防げない場合があるため、非常に危険です。

機密情報を盗み取ることなどを目的として特定の組織や個人を狙って行うサイバー攻撃は、 標的型攻撃（targeted attack）です。

関係者の名前を使い、いかにも業務上のやり取りであるかのように装って添付ファイルを開封させたり、リンク先をクリックさせて不正アクセスや情報漏えいを誘発するため不適切な選択肢です。

サイバー攻撃への対策が手薄な関連企業などを踏み台にして狙った企業へ攻撃を行うことは、サプライチェーン攻撃です。

組織間の業務上の繋がり（サプライチェーン）を辿って、セキュリティ対策が手薄な中小企業などを含む取引先企業を経由して最終的には標的企業を狙うサイバー攻撃であることから不適切な選択肢です。

サイバー攻撃を目的としたツール・サービスや、サイバー攻撃によって手に入れた個人情報などを金銭でやり取りするサービスは、アンダーグラウンドサービスです。

例として、ダークウェブ、ボットネット、情報窃取ウイルスなどがあり不適切な選択肢です。

情報通信技術を使用せずに、人間の心理的な隙などを突いてコンピュータに侵入するための情報を盗み出すことは、ソーシャルエンジニアリングです。

従来から存在する手法で、コンピュータの背後からパスワードを盗み見する、誕生日や電話番号などからパスワードを推測する、ゴミ箱からパスワードが書かれた紙を見つけ出すというアナログな手法があり不適切な選択肢です。

脆弱性に対する修正プログラム（パッチ）や回避策が公開される前に脆弱性を悪用して行われるサイバー攻撃は、ゼロデイ攻撃に関する記述として最も適切です。

脆弱性が判明した直後であり、修正までの期間が0日であることを意味するため正解の選択肢となります。

不適切
本肢は標的型攻撃に関する記述となっています。
標的型攻撃は、例えば、特定企業の従業員がメール内のリンクをクリックしたり、
添付ファイルを開くように巧妙に作り込まれたメールが該当します。

不適切

本肢はサプライチェーン攻撃に関する記述となっています。

サプライチェーン攻撃では、

ターゲット企業の関連企業や取引先を経由して、

間接的にターゲット企業に対する攻撃を行います。

不適切

本肢はアンダーグラウンドサービスに関する記述となっています。

サイバー攻撃そのものに関する記述ではありません。

不適切

本肢はソーシャルエンジニアリングに関する記述となっています。

ソーシャルエンジニアリングの例としては、

フィッシング、パスワードを盗み見する、電話で個人情報を聞き出す、

廃棄された書類やデータから情報を盗み取る、などの手段が該当します。

適切

冒頭の解説に示すように、ゼロデイ攻撃を表しており適切な記述です。