中小企業診断士 過去問
令和6年度（2024年）
問179 (経営情報システム 問18)

機密情報を盗み取ることなどを目的として特定の組織や個人を狙って行うサイバー攻撃は、 標的型攻撃（targeted attack）です。

関係者の名前を使い、いかにも業務上のやり取りであるかのように装って添付ファイルを開封させたり、リンク先をクリックさせて不正アクセスや情報漏えいを誘発するため不適切な選択肢です。

サイバー攻撃への対策が手薄な関連企業などを踏み台にして狙った企業へ攻撃を行うことは、サプライチェーン攻撃です。

組織間の業務上の繋がり（サプライチェーン）を辿って、セキュリティ対策が手薄な中小企業などを含む取引先企業を経由して最終的には標的企業を狙うサイバー攻撃であることから不適切な選択肢です。

サイバー攻撃を目的としたツール・サービスや、サイバー攻撃によって手に入れた個人情報などを金銭でやり取りするサービスは、アンダーグラウンドサービスです。

例として、ダークウェブ、ボットネット、情報窃取ウイルスなどがあり不適切な選択肢です。

情報通信技術を使用せずに、人間の心理的な隙などを突いてコンピュータに侵入するための情報を盗み出すことは、ソーシャルエンジニアリングです。

従来から存在する手法で、コンピュータの背後からパスワードを盗み見する、誕生日や電話番号などからパスワードを推測する、ゴミ箱からパスワードが書かれた紙を見つけ出すというアナログな手法があり不適切な選択肢です。

脆弱性に対する修正プログラム（パッチ）や回避策が公開される前に脆弱性を悪用して行われるサイバー攻撃は、ゼロデイ攻撃に関する記述として最も適切です。

脆弱性が判明した直後であり、修正までの期間が0日であることを意味するため正解の選択肢となります。