難易度・正答率・重要度
- 難易度:★★☆☆☆(攻撃手口の定義)
- 正答率:★★★☆☆(用語の正確な対応付け)
- 重要度:★★★☆☆(セキュリティ基礎)
問題文
サイバー攻撃の手口はますます多様化し、巧妙になっている。ゼロデイ攻撃に関する記述として、最も適切なものはどれか。
ア
機密情報を盗み取ることなどを目的として、特定の組織や個人を狙って行うサイバー攻撃のことである。
イ
サイバー攻撃への対策が手薄な関連企業などを踏み台にして、狙った企業へ攻撃を行うことである。
ウ
サイバー攻撃を目的としたツール・サービスや、サイバー攻撃によって手に入れた個人情報などを金銭でやり取りするサービスのことである。
エ
情報通信技術を使用せずに、人間の心理的な隙などを突いて、コンピュータに侵入するための情報を盗み出すことである。
オ
脆弱性に対する修正プログラム(パッチ)や回避策が公開される前に脆弱性を悪用して行われるサイバー攻撃のことである。
出典:中小企業診断協会|2024年度 第1次試験問題|経営情報システム(PDF)
解答
- 正解:オ(パッチや回避策が公開される前に脆弱性を悪用する攻撃)
解説
- ア:×
特定組織・個人を狙うのは標的型攻撃の定義。ゼロデイ攻撃とは別概念。 - イ:×
関連企業を踏み台にするのはサプライチェーン攻撃の説明。 - ウ:×
ツール・盗取情報の売買はサイバー犯罪アズアサービス(CaaS)や闇市場の説明。 - エ:×
人の心理を突くのはソーシャルエンジニアリング。技術的脆弱性とは異なる。 - オ:〇
修正プログラムが出る前の未知・未対策の脆弱性を突くのがゼロデイ攻撃。
学習のポイント
- ゼロデイ攻撃:未パッチの未知脆弱性を悪用。検知・防御が難しいため多層防御と迅速なパッチ適用が重要。
- 類似概念の区別:標的型攻撃/サプライチェーン攻撃/ソーシャルエンジニアリング/CaaSを混同しない。