「ランサムウェア」「ワイルドカード」「DDoS攻撃」の解説
ランサムウェアとは?
.001-4-1024x768.jpeg)
「ランサムウェア」とは、感染したPCをロックしたり、ファイルを暗号化することによって、使用不可能にした後、元に戻すことと引き換えに「身代金」を要求するプログラムのことです。
「ランサムウェア」の詳細解説や、関連問題については、下記リンク先を参照下さい。
ランサムウェアに関する問題
◆確認問題
攻撃者が他人のPCにランサムウェアを感染させる狙いはどれか。
出典:令和元年度 秋期 ITパスポート試験公開問題 問98
ア. PC内の個人情報をネットワーク経由で入手する。
イ. PC内のファイルを使用不能にし,解除と引換えに金銭を得る。
ウ. PCのキーボードで入力された文字列を,ネットワーク経由で入手する。
エ. PCへの動作指示をネットワーク経由で送り,PCを不正に操作する。
◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り
- ア:「スパイウェア」の目的です。
- イ:正解です。「ランサムウェア」の目的です。
- ウ:「キーロガー」の目的です。
- エ:「ボット」の目的です。
ワイルドカードとは?
.002-4-1024x768.jpeg)
「ワイルドカード」とは、全てのパターンにマッチする文字列のことです。不特定の文字列を一括で置き換えたい時などに使われます。なお、ワイルドカードは2種類あり、文字数に関係なく使える「*」、1文字分にだけ使える「?」があります。
ワイルドカードに関する問題
◆確認問題
ワイルドカードに関する次の記述中のa,bに入れる字句の適切な組合せはどれか。
出典:令和元年度 秋期 ITパスポート試験公開問題 問99
任意の1文字を表す”?"と,長さゼロ以上の任意の文字列を表す"*"を使った文字列の検索について考える。( a )では,”データ”を含む全ての文字列が該当する。また,( b ) では,"データ"で終わる全ての文字列が該当する。

◆確認問題の解答(エ)(a=「*データ*」、b=「*データ」)、解説・・・次の通り
aの場合、“データ”を含む全ての文字列にマッチさせるには、”データ"の前後に長さゼロ以上の任意の文字列を表す"*"を付けます。前後にどのような文字列が付いていても、全く付いていなくても”データ"さえ入っていれば該当します。「*データ*」は、単なる”データ"、"データベース"、"電子データ"、"旧データファイル"など、"データ"を含む文字列全てにマッチします。
bの場合、“データ"で終わる文字列にマッチさせるには、"データ"の前に"*"を付けます。「*データ」は、"データ"、"電子データ"、“新データ"などの末尾が"データ"である文字列にマッチします。
DDoS攻撃とは?
.003-1024x768.jpeg)
「DDoS攻撃」とは、「Distributed Denial of Service Attack(分散型DoS攻撃)」の略であり、ネットワークを通じて、不特定多数の攻撃元からターゲットとなるサーバに大量の負荷を与え、Webサイトやサービスの正常な動作を妨げる攻撃のことです。
「DDoS攻撃」は、トロイの木馬などのマルウェアを使って複数のマシンを乗っ取った上で、「DoS攻撃」を仕掛ける攻撃手段のことです。
(「DoS攻撃(Denial of Service attack)」は、サイバーの攻撃の1つであり、攻撃目標であるサイトやサーバに対して大量のデータを送り付けることで行われる攻撃です)
「DDoS攻撃」は、「DoS攻撃」と異なり、複数のIPを利用して行われるので、攻撃対象により大きな負荷をかけることができます。
DDoS攻撃に関する問題
◆確認問題
脆弱性のあるIoT機器が幾つかの企業に多数設置されていた。その機器の1台にマルウェアが感染し,他の多数のIoT機器にマルウェア感染が拡大した。ある日のある時刻に,マルウェアに感染した多数のIoT機器が特定のWebサイトへ一斉に大量のアクセスを行い,Webサイトのサービスを停止に追い込んだ。このWebサイトが受けた攻撃はどれか。
出典:令和元年度 秋期 ITパスポート試験公開問題 問100
ア. DDoS攻撃
イ. クロスサイトスクリプティング
ウ. 辞書攻撃
エ. ソーシャルエンジニアリング
◆確認問題の解答(ア)、解説・・・各選択肢の解説は、次の通り
- ア(DDoS攻撃):正解です。「DDoS攻撃」は、特定のサイトに対し、日時を決めて、複数台のPCから同時に、「DoS攻撃」を仕掛ける行為のことです
- イ(クロスサイトスクリプティング):「クロスサイトスクリプティング(XSS)」は、動的にWebページを生成するアプリケーションに対て、セキュリティ上の不備を突いた悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを介してユーザのクッキーや個人情報を盗んだりする攻撃のことです。
- ウ(辞書攻撃):「辞書攻撃」は、パスワードとして利用されそうな単語を網羅した辞書データを用いて、パスワード解読を試みる攻撃手法のことです。
- エ(ソーシャルエンジニアリング):「ソーシャルエンジニアリング」は、技術的な方法を用いるのではなく、人の心理的な隙に付け込み、パスワードなどの秘密情報を不正に取得する方法の総称のことです。
ディスカッション
コメント一覧
まだ、コメントがありません