問題
問73 Webサービスを狙った攻撃に関する記述と攻撃の名称の適切な組合せはどれか。 a Webサービスが利用しているソフトウェアに脆弱性の存在が判明したとき,その修正プログラムが提供される前に,この脆弱性を突いて攻撃する。 b 複数のコンピュータから大量のパケットを一斉に送り付けることによって,Webサービスを正常に提供できなくさせる。 c 理論的にあり得るパスワードのパターンを順次試すことによって,正しいパスワードを見つけ,攻撃対象のWebサービスに侵入する。
選択肢
- アa:DDoS攻撃 b:ゼロデイ攻撃 c:ブルートフォース攻撃
- イa:DDoS攻撃 b:ブルートフォース攻撃 c:ゼロデイ攻撃
- ウa:ゼロデイ攻撃 b:DDoS攻撃 c:ブルートフォース攻撃
- エa:ゼロデイ攻撃 b:ブルートフォース攻撃 c:DDoS攻撃
解説
正解:ウ
概要
この問題は、Webサービスを狙った代表的な攻撃手法の特徴を理解し、説明文と攻撃名を正しく対応させられるかを問うものです。各攻撃の仕組みを把握することが重要です。
正解の理由
脆弱性が発見されても修正プログラムが提供される前に行われる攻撃はゼロデイ攻撃です。複数のコンピュータから大量のパケットを送り付けてサービスを停止させる攻撃はDDoS攻撃です。また、考えられるパスワードを順番に試して突破する攻撃はブルートフォース攻撃であるため、aはゼロデイ攻撃、bはDDoS攻撃、cはブルートフォース攻撃となります。
各選択肢の解説
ア(×): aがDDoS攻撃となっていますが、脆弱性が発見されてから修正プログラムが提供される前に行われる攻撃はゼロデイ攻撃です。またbもゼロデイ攻撃となっており内容と一致しないため誤りです。
イ(×): aがDDoS攻撃となっていますが、説明は脆弱性が修正される前に行われる攻撃なのでゼロデイ攻撃を指します。またcもゼロデイ攻撃となっており説明と一致しないため誤りです。
ウ(〇): aはゼロデイ攻撃で、脆弱性が修正される前に行われる攻撃を指します。bはDDoS攻撃で、多数のコンピュータから大量の通信を送り付けてサービスを停止させる攻撃です。cはブルートフォース攻撃で、パスワードを総当たりで試す攻撃なので正しい組合せです。
エ(×): aのゼロデイ攻撃は正しいですが、bがブルートフォース攻撃となっている点が誤りです。複数のコンピュータから大量のパケットを送る攻撃はDDoS攻撃なので不正解です。
ポイント
ゼロデイ攻撃は修正前の脆弱性を狙う攻撃、DDoS攻撃は大量通信でサービスを停止させる攻撃、ブルートフォース攻撃はパスワードを総当たりで試す攻撃と覚えておきましょう。