ITパスポート 過去問
令和7年度
問73 (テクノロジ系 問18)

Webサービスを対象とした攻撃手法の中で、代表的なゼロデイ攻撃・DDoS攻撃・ブルートフォース攻撃について理解しているかを問われています。

ゼロデイ攻撃とは、脆弱性が発見された後、修正プログラムやパッチが出る前にその脆弱性を利用した攻撃を行うことです。

そのため選択肢のaが該当します。

DDoS(Distributed Denial of Service attack)攻撃とは、分散型サービス拒否攻撃とも呼ばれ、複数のコンピュータから大量パケット送信でサービス停止させる攻撃です。

そのため選択肢のｂが該当します。

ブルートフォース攻撃とは、パスワードとして考えられる全てのパターンを試して認証を突破する攻撃です。

そのため選択肢のｃが該当します。

正しい選択肢の組み合わせは、　a：ゼロデイ攻撃　b：DDoS攻撃　c：ブルートフォース攻撃　です。

実際に不正アクセスで行われている攻撃手法です。

ここでは攻撃手法の特徴および有効なセキュリティ対策について覚えましょう。

ゼロデイ攻撃（a）

攻撃者はターゲットとするソフトウェアのデモ版などを解析し、発見した脆弱性を利用して不正アクセスを行います。

ソフトウェアの販売直後に被害に遭う確率が高いことから、対策する余裕がない＝0日というのが「ゼロデイ」と呼ばれる由来です。

対策として、セキュリティパッチは配布され次第、早急に適用する、IDSなどにより未然に不正アクセスを防ぐなどが挙げられます。

DDoS攻撃(b)

DoSとは「Denial of Service」の略で、訳すと「サービス不能」となります。

これは、Web上に展開されているサービスを使えない状態に追い込む攻撃手法で、

問題文の通り大量のパケットを送りつけると言う方法でサーバー処理を止めると言う手口です。

ここ最近見られるDoS攻撃は1台のコンピュータからというよりも、

複数の乗っ取ったコンピュータ（ボットネット）を操って大量に仕掛けると言う手口が多く見られ、

この手口をDDoS攻撃と呼びます。

このように通信負荷をかけてくる手法には通信制限による防御が有効です。

その方法としてWAF（Web Application Firewall）という不正アクセスに特化したファイアーウォールの利用や、

IPアドレスが特定できた場合にはフィルタリング設定などの措置があげられます。

ブルートフォース攻撃(c)

相手のアカウントを乗っ取るため、考えうる文字の組み合わせを、ログインできるまで試すという手口です。

・パスワードを英数、大文字小文字を含めた10文字以上にする

・数回間違えたらログインできなくする（ロックアウト）

などで、ある程度は対策できます。

しかし、「すぐパスワードを忘れてしまう」

「そもそもパスワードを考えるのが面倒」

といった理由で、つい生年月日や「1234」といった単純なパスワードを設定してしまいがちです。

そのため、

・アカウント情報は、専用のパスワード管理ソフトを使用する

・できるだけバイオメトリクス認証を使用する

といった対策も取り入れていきたいところです。

よって、a：ゼロデイ攻撃 b：DDoS攻撃 c：ブルートフォース攻撃 が正解です。

選択肢を確認します。

ａ．修正プログラムの提供前に行う攻撃を

　　ゼロデイ攻撃といいます。

ｂ．大量のパケットを送り付ける攻撃を

　　DDoS攻撃といいます。

ｃ．パスワードのパターンを順次試す攻撃を

　　ブルートフォースアタックといいます。