ITパスポート 過去問
令和7年度
問70 (テクノロジ系 問15)

ブルートフォース攻撃とも呼ばれます。

パスワードなどの認証情報を可能な限りの組み合わせで試行する攻撃です。

脆弱性を直接的に悪用する攻撃ではないため、本選択肢は不正解です。

技術的な手法ではなく、嘘をついたりだますといった人間の心理的な隙をついて、機密情報を不正に聞き出す攻撃です。

脆弱性を直接的に悪用する攻撃ではないため、本選択肢は不正解です。

他のサービスやサイトから流出したIDとパスワードのリストを使って、入手した人物が複数のサービスでログインを試みる攻撃です。

脆弱性を直接的に悪用する攻撃ではないため、本選択肢は不正解です。

バッファと呼ばれるソフトウェアが確保したメモリ領域に、それを超える量のデータを意図的に送り込み、プログラムに異常な動作を引き起こさせたり、不正なコードを実行させたりする攻撃です。

脆弱性を直接的に悪用する攻撃であるため、セキュリティパッチの適用が有効です。

そのため本選択肢が正解です。

総当たり攻撃、もしくはブルートフォース攻撃ともいいますが、

これは考えうるパスワードの文字の組み合わせを全て試すという不正アクセスの手口です。

パスワードの推測方法としては効率が悪いため、

・長い文字列にする（10文字以上が目安）

・英数大文字小文字、数字、記号を混ぜる

・定期的にパスワードを変更する

といった対策が有効です。

ソーシャルエンジニアリングとは、相手の心理的な弱みにつけこんで機密情報などを聞き出すといった攻撃手法です。

例えば、ネットバンクのオペレータを装って「アカウントに問題が発生し、復旧のためパスワードと暗証番号を教えて欲しい」などといった偽の連絡です。

また、特定の企業に「業務効率化ツールの案内」といった関連性のありそうなメールを送り、資料に偽装したマルウェアを実行させるなどといった手口は「標的型攻撃」とも呼ばれ、近年問題視されています。

このようなソーシャルエンジニアリングには、社員への情報セキュリティ教育が何よりも有効です。

パスワードリスト攻撃とは、よくパスワードとして使用される単語のリストを用意し、それを順に当てはめてパスワード認証を突破するという手口です。

パスワードは、「設定が面倒だから」とか「忘れてしまうから」といった理由で「1234」や「password」といった単純なものに設定してしまいがちです。

それでも、アカウントに設定するパスワードは安全性こそ重視し、相手に推測されない複雑なものにすべきです。

かつ、「失念防止」や「使い勝手」の両立として、パスワード管理ソフトなどを併用するようにしましょう。

バッファとは、プログラムがメモリ内に作成する小さな記憶領域（変数）です。

この領域をオーバーするほどのデータを送りつけたり、デタラメな命令を実行させることでシステムを不安定にするのがバッファオーバーフローという攻撃手法です。

つまりはプログラムに対するアプローチ

セキュリティパッチの適用が、バッファオーバーフローへの対策となります。

不正解。パスワードのすべての組み合わせを試行して不正ログインを試みる攻撃です。

不正解。人為的なミスや隙をついて不正に取得する行為のことです。

不正解。他のサイトで取得したパスワードリストを用いて不正ログインする攻撃のことです。

これが正解です。