問70

ITパスポート過去問令和7年度（2025年）問70

情報セキュリティにおける脅威のうち，脆弱性（ぜいじゃくせい）を是正するセキュリティパッチをソフトウェアに適用することが最も有効な対策になるものはどれか。

選択肢

正解：エ

あなたの回答：未回答

セキュリティパッチは、ソフトウェアの脆弱性を修正する更新プログラムです。バッファオーバーフローは、プログラムのメモリ処理の不具合などの脆弱性を突いて想定外の動作を起こす攻撃なので、パッチ適用で原因となる脆弱性を是正でき、最も有効な対策になります。

ア：不正解: 総当たり攻撃は、パスワードの候補を順に試して認証を突破しようとする手法です。主な対策は、長く推測されにくいパスワードの設定、ログイン試行回数制限、アカウントロック、多要素認証などであり、パッチ適用だけで解決するものではありません。

イ：不正解: ソーシャルエンジニアリングは、人の行動や心理を利用して情報を入手する手法です。主な対策は、手順の整備、教育、本人確認の徹底、物理的な管理などであり、ソフトウェアにパッチを適用しても防げない場合があります。

ウ：不正解: パスワードリスト攻撃は、流出したIDとパスワードの組を使って不正ログインを試みる手法です。主な対策は、パスワードの使い回し防止、多要素認証、異常ログイン検知、認証の制限などであり、パッチ適用は中心的な対策ではありません。

エ：正解: バッファオーバーフローは、プログラムのメモリ管理の不備という脆弱性を悪用する攻撃です。脆弱性そのものを修正するには、開発元が提供するセキュリティパッチの適用が最も有効な対策になります。

この問題は、セキュリティパッチが効果を発揮する対象が「ソフトウェアの脆弱性」であることを理解しているかを確認しています。各攻撃が、ソフトウェアの欠陥を突くものか、パスワード運用や人の行動を狙うものかを区別できることがポイントです。

この問題を解くには、セキュリティパッチが修正する対象と、代表的な攻撃手法が成立する原因を理解している必要があります。

用語	意味
セキュリティパッチ	ソフトウェアの脆弱性（不具合、欠陥）を修正する更新プログラムです。
脆弱性	ソフトウェアやシステムに存在するセキュリティ上の欠陥です。
バッファオーバーフロー	プログラムが確保したメモリ領域（バッファ）を超えるデータを書き込ませ、想定外の動作を引き起こす攻撃です。原因はソフトウェアの脆弱性です。
総当たり攻撃（ブルートフォース攻撃）	考えられるパスワードの組合せを順に試してログインを狙う攻撃です。
ソーシャルエンジニアリング	人の心理や行動の隙を利用して、秘密情報を不正に入手する手法です。
パスワードリスト攻撃	流出したIDとパスワードの組を使い、別サービスへのログインを試みる攻撃です。

攻撃が成立する主な原因	代表例	パッチ適用の有効性
ソフトウェアの脆弱性	バッファオーバーフロー	高いです。脆弱性そのものを修正できます。
パスワード運用の弱さ	総当たり攻撃、パスワードリスト攻撃	低いです。運用対策（強固なパスワード、多要素認証、ロックなど）が中心です。
人の行動、運用の隙	ソーシャルエンジニアリング	低いです。教育、手順、物理対策などが中心です。

ア：不正解: 総当たり攻撃は、パスワードの候補を順に試して認証を突破しようとする手法です。主な対策は、長く推測されにくいパスワードの設定、ログイン試行回数制限、アカウントロック、多要素認証などであり、パッチ適用だけで解決するものではありません。

イ：不正解: ソーシャルエンジニアリングは、人の行動や心理を利用して情報を入手する手法です。主な対策は、手順の整備、教育、本人確認の徹底、物理的な管理などであり、ソフトウェアにパッチを適用しても防げない場合があります。

ウ：不正解: パスワードリスト攻撃は、流出したIDとパスワードの組を使って不正ログインを試みる手法です。主な対策は、パスワードの使い回し防止、多要素認証、異常ログイン検知、認証の制限などであり、パッチ適用は中心的な対策ではありません。

エ：正解: バッファオーバーフローは、プログラムのメモリ管理の不備という脆弱性を悪用する攻撃です。脆弱性そのものを修正するには、開発元が提供するセキュリティパッチの適用が最も有効な対策になります。

※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。最終的な判断は、試験実施団体の公式資料をご確認ください。

テクノロジ系 > 技術要素 > セキュリティ