【Iパス9問】攻撃問題を全部集めてみた
攻撃系の用語は、得点へ直結しくい学習コスパが悪い状況にあります。
なぜならITパスポートレベルでさえ、多数の攻撃手法がバラバラに出題され、なかなか得点につながりにくいから。
そこで、まずは3分野・計13種類の攻撃を覚えて、初見では消去法で解きつつ、新しく覚えていく戦略とします。
以上を学習した上で、読み進めるのがお薦めです。
なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、ちょっとでも信用してくれたら嬉しいです。
\全てのNoteへのリンク集/
まとめて覚えておくべき攻撃3分野
まず3分野、計13種類の攻撃を覚えることから始めます。
パスワードクラック:不正にログインしようとする攻撃
DoS攻撃:サーバへ大量アクセスして高負荷にする攻撃
Webサービス/アプリへの攻撃:Webへの入力機能を悪用した攻撃
軽くまとめますが、必ず詳細Noteで対策をしてから進めてくださいね。バラバラに出題されるので、学習の意味がなくなります。
パスワードクラック
ブルートフォース攻撃:パスワードにあらゆる文字の組み合わせ
リバースブルートフォース攻撃:IDにあらゆる文字の組み合わせ
パスワードリスト攻撃:別サイトで入手したIDとパスワードを流用
辞書攻撃:パスワードでよく使われそうな言葉
Webサービス/アプリを悪用した攻撃
XSS(クロスサイトスクリプティング):Webサイトに悪意のあるスクリプトを埋め込んで、閲覧者の訪問時に実行させ偽サイトに誘導する
XSRF(CSRF, クロスサイトリクエストフォージェリ):Webサイトに悪意のあるスクリプトを埋め込んで、閲覧者が気づかないうちに別サイトで意図しない操作をする
SQLインジェクション:データベースを不正利用する
BoF(バッファオーバーフロー):想定外の長大な入力をしてバッファをあふれさせ、攻撃者の用意したプログラムを実行させるなど誤動作させる
ディレクトリトラバーサル攻撃 :Webサーバ内のファイル・ディレクトリ構造を推測して、直接アクセスする攻撃
サーバーを高負荷にする攻撃
DoS攻撃:大量のパケットを送り付けてサービス不能にする攻撃
DDoS攻撃:多数の機器から1つのサーバにDoS攻撃をする
DRDoS攻撃:送信元を攻撃対象に詐称し、サーバに多数の問い合わせをし、返答を攻撃対象に集中させる攻撃
DNSamp攻撃:DRDoS攻撃の一種。DNSサーバに問い合わせをして、返答を攻撃対象に集中させる
問題演習 | 消去法で解き、都度覚えていく
では問題演習で、どんどん他の攻撃手法も覚えていきましょう。
必ず、上の3種類の攻撃を頭に叩き込んでから解いてくださいね。
正答はア。多くの機器を用いているDoS攻撃なので。
イ:Webサイトへの利用者への攻撃
ウ:パスワード特定の試行する攻撃
エ:技術を駆使しないスパイ行為
珍しい問題なので消去法で良いです。
正答はウ。
クロスサイトスクリプティング(XSS)では、Webページ(HTML)に悪意のあるスクリプト(JavaScriptなど)を埋め込んで、利用者が閲覧した時にWebブラウザでスクリプトが実行されます。
HTML形式のメールでも、メールはWebページと同じHTMLで書かれており、スクリプトの埋め込みが可能です。
消去法で解けるので覚える必要はありません。選択肢を見て分かる通り、攻撃名がついてませんからね。
正答はウ。
フィッシングは、偽のメールやWebサイトによって、人を誘導して個人情報などを不正入手する手口全般のことです。いろんなひっかけ方があります。
正答はウ。単独で出題されることが多いです。
正答はア。今後もでるかもしれません。
クリックジャッキングも知っておきましょう。Webページで透明なリンクオブジェクトを置いて、利用者が誤ってクリックするよう仕向けることです。
ソシャゲのまとめサイトなどで、画面中央から下に移動しながら見えるようになってくる広告を見たことありますよね。スクールするときに誤って押してしまうこともあったと思います。
正答はウ。
エのバックドアは、いわば裏口。攻撃対象内に仕込まれた、侵入しやすくするプログラムや設定です。
正答はイ。
ポートスキャンは、コンピュータの開いている通信ポートを探す行為です。攻撃者は侵入口を探すため、サーバ管理者は侵入口がないか探すために行います。
ポート番号を2つ知っておきましょう。
HTTP:80番:Web閲覧のためのプロトコル
SMTP:25番:メールの送信・転送のプロトコル
詳しくは、>>通信プロトコルの対策Note<< から学習を始めてください。
正答はウ。
なお、エはソーシャルエンジニアリング 。
ソーシャルエンジニアリングは、技術を使わないスパイ行為で、以下3つが良く出題されます。
ショルダーハッキング:他人の画面を肩越しに覗き見る
トラッシング(スキャベンジング):ゴミ箱をあさる
緊急事態を装って 、関係者を装って、聞き出す
正答はア。サーバの中に不正を行う人(man)が居るということ。
ITパスポートでは珍しいので、今は消去法で解ければOK。
まとめ | バラ出しは簡単の裏返し
ここまで見てきたように、パスワードクラック・Webサーバへの攻撃などは、バラバラに選択肢に表れます。
3~5用語なので、まとめて出題されたいところでしょうが、キーワードで簡単に正解できますからね。簡単だからこその小細工です。
よって、学習コスパは悪いですが、パスワードクラック4種・サーバ入力系5種・サービス不能攻撃4種類をしっかり覚えて、消去法で解きつつ、1つずつ新しく学習していきましょう。
次は、DoS攻撃を基本情報技術者試験と混合でまとめたいです(未定)。
\全てのNoteへのリンク集/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ