ITパスポート過去問 令和7年度(2025年)問73
Webサービスを狙った攻撃に関する記述と攻撃の名称の適切な組合せはどれか。
- a Webサービスが利用しているソフトウェアに脆弱性(ぜいじゃくせい)の存在が判明したとき,その修正プログラムが提供される前に,この脆弱性を突いて攻撃する。
- b 複数のコンピュータから大量のパケットを一斉に送り付けることによって,Webサービスを正常に提供できなくさせる。
- c 理論的にあり得るパスワードのパターンを順次試すことによって,正しいパスワードを見つけ,攻撃対象Webサービスに侵入する。
選択肢
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
aは、修正プログラムが提供される前の脆弱性を突く攻撃なのでゼロデイ攻撃です。bは、複数のコンピュータから大量のパケットを一斉に送り付けてサービスを利用しにくくするのでDDoS攻撃です。cは、理論的にあり得るパスワードを順に試して侵入を狙うのでブルートフォース攻撃です。したがって、適切な組合せはウです。
Point
この問題では、Webサービスを狙った代表的な攻撃について、説明文に書かれた特徴から攻撃名(ゼロデイ攻撃、DDoS攻撃、ブルートフォース攻撃)を正しく対応付けられるかが問われています。
解くために必要な知識
この問題を解くには、ゼロデイ攻撃・DDoS攻撃・ブルートフォース攻撃の定義を理解している必要があります。
用語の整理
3つの攻撃の違い(何を狙うか)
| 用語名 | 主な狙い | 典型的な内容 |
|---|---|---|
| ゼロデイ攻撃 | 脆弱性 | 修正プログラム(パッチ)提供前など、対策が整う前の脆弱性を悪用します。 |
| DDoS攻撃 | 可用性(サービスを使える状態) | 複数の機器から大量の通信を送り、過負荷にしてサービスを利用しにくくします。 |
| ブルートフォース攻撃 | 認証(パスワード) | パスワードの候補を順に試し、正しいパスワードを見つけて侵入を狙います。 |
本問の文章と対応付けの着眼点
-
「修正プログラムが提供される前に脆弱性を突く」は、ゼロデイ攻撃の特徴です。
-
「複数のコンピュータから大量のパケットを一斉に送り付ける」は、分散型のDoSでありDDoS攻撃の特徴です。
-
「パスワードのパターンを順次試す」は、総当たりで試行するブルートフォース攻撃の特徴です。
選択肢ごとの解説
- ア:不正解
aは修正プログラム提供前の脆弱性を突くため、DDoS攻撃ではなくゼロデイ攻撃です。また、bは大量パケットで妨害するためゼロデイ攻撃ではなくDDoS攻撃です。したがって誤りです。
- イ:不正解
aはゼロデイ攻撃に該当し、DDoS攻撃ではありません。bはDDoS攻撃に該当し、ブルートフォース攻撃ではありません。cはブルートフォース攻撃に該当し、ゼロデイ攻撃ではありません。したがって誤りです。
- ウ:正解
aはゼロデイ攻撃、bはDDoS攻撃、cはブルートフォース攻撃に該当し、すべての対応が問題文の記述と一致するため正解です。
- エ:不正解
aはゼロデイ攻撃で正しいですが、bは大量パケットによる妨害なのでブルートフォース攻撃ではなくDDoS攻撃です。またcはパスワードを順次試すのでDDoS攻撃ではなくブルートフォース攻撃です。したがって誤りです。
まとめ
aは、修正プログラムが提供される前の脆弱性を突く攻撃なのでゼロデイ攻撃です。bは、複数のコンピュータから大量のパケットを一斉に送り付けてサービスを利用しにくくするのでDDoS攻撃です。cは、理論的にあり得るパスワードを順に試して侵入を狙うのでブルートフォース攻撃です。したがって、適切な組合せはウです。
テクノロジ系 > 技術要素 > セキュリティ
aは修正プログラム提供前の脆弱性を突くため、DDoS攻撃ではなくゼロデイ攻撃です。また、bは大量パケットで妨害するためゼロデイ攻撃ではなくDDoS攻撃です。したがって誤りです。
aはゼロデイ攻撃に該当し、DDoS攻撃ではありません。bはDDoS攻撃に該当し、ブルートフォース攻撃ではありません。cはブルートフォース攻撃に該当し、ゼロデイ攻撃ではありません。したがって誤りです。
aはゼロデイ攻撃、bはDDoS攻撃、cはブルートフォース攻撃に該当し、すべての対応が問題文の記述と一致するため正解です。
aはゼロデイ攻撃で正しいですが、bは大量パケットによる妨害なのでブルートフォース攻撃ではなくDDoS攻撃です。またcはパスワードを順次試すのでDDoS攻撃ではなくブルートフォース攻撃です。したがって誤りです。