多様化するサイバー攻撃にどう備える?
情報収集や活用の機会が増える一方、攻撃者の手口もますます巧妙化しているのが現代の実情です。特定の組織を狙う標的型攻撃(APT、水飲み場型攻撃、やり取り型攻撃など)や、身近なメールやSMSを利用するフィッシングやスミッシング、思わぬ誘導を受けるワンクリック詐欺など、多岐にわたるリスクが存在しています。
こうした脅威に対処するには、ゼロデイ攻撃をはじめとする未知の脆弱性への備えや、サービス及びソフトウェアの機能の悪用への警戒が重要です。さらにプロンプトインジェクション攻撃や敵対的サンプル(Adversarial Examples)など、新たに台頭する攻撃手法も見過ごせません。攻撃者が事前にネットワーク構成などを調べるフットプリンティングやポートスキャンといった準備行為があることも、情報セキュリティの基本として押さえられています。
こうした多面的なリスクを捉えることで、ネットワーク社会を安全に活動する基礎が築きやすくなるでしょう。就活や転職などキャリア形成の場面でも、セキュリティを意識する視点はDX時代における重要なアピールポイントとなります。
学習ポイントをチェック
- 標的型攻撃の脅威が拡大する背景
ターゲットを絞り込んだ高度な侵入経路が用いられ、従来型の防御策では防ぎきれないケースが増えている - フィッシングやスミッシングの巧妙化
SNSやメールなど日常的なツールで詐欺行為を行うため、被害に気づきにくい状況を生みやすい - ゼロデイ攻撃や機能悪用への備え
公表前の脆弱性を突かれるリスクや、通常機能を悪用されるケースを想定して更新や監視を徹底する - プロンプトインジェクション攻撃・敵対的サンプルの注目点
AI技術の急速な普及に伴い、その仕組みを逆手に取る攻撃が現実化してきている - 攻撃の準備行為が見過ごされがちな理由
フットプリンティングやポートスキャンなど、目立たない下調べが侵入への足掛かりとなる
サイバー攻撃の全貌を把握することで、企業や個人を取り巻くリスクをより的確にイメージしやすくなるでしょう。用語解説を確認したら、練習問題にも取り組んで知識をブラッシュアップしてみてください。
このページは以下の「ITパスポート シラバス6.3」学習用コンテンツです。
◆大分類:9.技術要素
◆中分類:23.セキュリティ
| ◆小分類 | ◆見出し | ◆学習すべき用語 |
|---|---|---|
| 61.情報セキュリティ | (4) 攻撃手法 – 3 | 標的型攻撃(APT(Advanced Persistent Threat),水飲み場型攻撃,やり取り型攻撃ほか) フィッシング スミッシング ワンクリック詐欺 ゼロデイ攻撃 サービス及びソフトウェアの機能の悪用 プロンプトインジェクション攻撃 敵対的サンプル(Adversarial Examples) 攻撃の準備(フットプリンティング,ポートスキャンほか) |
標的型攻撃(APT(Advanced Persistent Threat),水飲み場型攻撃,やり取り型攻撃ほか)とは?
標的型攻撃は特定の組織や個人を狙ったサイバー攻撃の総称です。
APT(Advanced Persistent Threat)は高度で持続的な攻撃であり、通常、特定の情報を長期間にわたり狙い続けます。
水飲み場型攻撃はターゲットが頻繁に訪れるウェブサイトにマルウェアを仕掛ける手法で、無意識のうちに感染させます。やり取り型攻撃はターゲットと信頼関係を構築し、やり取りの中でマルウェアを送信する方法です。
標的型攻撃に関する学習用問題にトライ!
APT攻撃の特徴として最も適切なものはどれですか?
水飲み場型攻撃において攻撃者が狙うものはどれですか?
やり取り型攻撃で攻撃者が最初に行う行動はどれですか?
フィッシングとは?
フィッシングは信頼できる組織を装って偽のウェブサイトやメールを使用し、ユーザーから個人情報や認証情報を騙し取る詐欺の手法です。
メールやSMSを通じて受信者を騙し、銀行口座やクレジットカード情報などを入力させることが一般的です。最近ではSNSやメッセージアプリを利用したフィッシングも増加しています。
フィッシングに関する学習用問題にトライ!
フィッシング攻撃の目的として最も適切なものはどれですか?
フィッシング攻撃でよく使われる手法はどれですか?
フィッシング攻撃を防ぐために最も効果的な対策はどれですか?
スミッシングとは?
スミッシングはSMS(ショートメッセージサービス)を使用して行われるフィッシング攻撃の一種です。
攻撃者は信頼できる組織を装ったメッセージを送り、ユーザーを偽のウェブサイトに誘導し、個人情報や金銭を騙し取ります。スミッシングは電話番号の推測による手軽さや開封率の高さを利用し、特にスマートフォン利用者をターゲットにしています。
スミッシングに関する学習用問題にトライ!
スミッシング攻撃の特徴として正しいものはどれですか?
スミッシングのターゲットとなりやすいのは誰ですか?
スミッシングに対する効果的な対策はどれですか?
ワンクリック詐欺とは?
ワンクリック詐欺はウェブページ上でリンクやボタンをクリックしただけで、不正な料金が請求される詐欺です。
ユーザーがクリックすると、契約が成立したと誤解させるような表示がされ、高額な料金を要求されることが一般的です。請求は虚偽であり、法的に支払う義務はありません。
ワンクリック詐欺に関する学習用問題にトライ!
ワンクリック詐欺の典型的な手口はどれですか?
ワンクリック詐欺の被害を防ぐための最も効果的な対策はどれですか?
ワンクリック詐欺で不正に請求された場合の適切な対応はどれですか?
ゼロデイ攻撃とは?
ゼロデイ攻撃はソフトウェアの未知の脆弱性を狙った攻撃です。
この脆弱性が発見されたその日、もしくは発見される前に攻撃が行われるため、「ゼロデイ」と呼ばれます。開発者が脆弱性を修正する前に攻撃が行われるため、非常に危険です。
特に重要なインフラや大規模システムが標的になることが多く、迅速な対応が求められます。
ゼロデイ攻撃に関する学習用問題にトライ!
ゼロデイ攻撃の主な特徴はどれですか?
ゼロデイ攻撃が特に危険とされる理由はどれですか?
ゼロデイ攻撃に対する最も効果的な対策はどれですか?
サービス及びソフトウェアの機能の悪用とは?
サービス及びソフトウェアの機能の悪用は、本来の目的から逸脱してソフトウェアの機能を悪意のある目的で使用することです。
たとえば、管理ツールを使って不正アクセスを行ったり、正当なソフトウェアを利用してマルウェアを配布することが挙げられます。機能の悪用により予期せぬ攻撃や情報漏洩が発生する可能性があります。
サービス及びソフトウェアの機能の悪用に関する学習用問題にトライ!
サービス及びソフトウェアの機能の悪用において、最も関連性が高いものはどれですか?
ソフトウェアの機能を悪用するリスクとして考えられるものはどれですか?
サービス及びソフトウェアの機能の悪用を防ぐための最も効果的な対策はどれですか?
プロンプトインジェクション攻撃とは?
プロンプトインジェクション攻撃は、ユーザーが入力したデータを利用してシステムに不正なコマンドやスクリプトを実行させる攻撃手法です。
攻撃者はシステムの信頼できる入力フィールドに悪意のあるコードを挿入し、システムに予期せぬ動作をさせることを目指します。システムの制御が奪われる危険性があります。
プロンプトインジェクション攻撃に関する学習用問題にトライ!
プロンプトインジェクション攻撃の主な目的はどれですか?
プロンプトインジェクション攻撃の影響として最も可能性が高いものはどれですか?
プロンプトインジェクション攻撃を防ぐための効果的な対策はどれですか?
敵対的サンプル(Adversarial Examples)とは?
敵対的サンプル(Adversarial Examples)はAIモデルが誤認識するように巧妙に加工されたデータのことで、AIが間違った判断や予測を行うことを狙います。
画像認識や自然言語処理においてこの攻撃手法が用いられることが多く、AIの信頼性や安全性を脅かす要因となっています。
敵対的サンプルに関する学習用問題にトライ!
敵対的サンプルの主な目的はどれですか?
敵対的サンプルが利用される可能性が高い分野はどれですか?
敵対的サンプルに対する防御策として効果的なものはどれですか?
攻撃の準備(フットプリンティング,ポートスキャンほか)とは?
攻撃の準備段階ではフットプリンティングやポートスキャンなどの手法を使用して、ターゲットシステムの情報を収集します。
フットプリンティングは、ターゲットのネットワークやシステムについての情報を収集するプロセスです。ポートスキャンは、開いているポートを確認して攻撃可能な経路を特定するために行われます。
攻撃の準備に関する学習用問題にトライ!
フットプリンティングの目的として最も適切なものはどれですか?
ポートスキャンで得られる情報として適切なものはどれですか?
攻撃の準備段階でフットプリンティングやポートスキャンを行う理由として適切なものはどれですか?
