情報セキュリティ対策
ブラックリストとホワイトリストの違いとは?判断基準を整理【情報セキュリティマネジメント】
- Source: pages\sg\blacklist-whitelist.md
- Permalink: /sg/blacklist-whitelist/
まず結論
ブラックリストとホワイトリストは「通信を許可・拒否するルールの考え方」であり、SG試験では「何を基準に許可・拒否しているか」を見抜く問題として出題される。
直感的な説明
イメージで考えるとシンプルです。
-
ブラックリスト
→ ダメな人だけ入れない(基本OK) -
ホワイトリスト
→ 許可された人だけ入れる(基本NG)
例えば会社の入館管理で考えると、
- ブラックリスト:問題を起こした人だけ入館禁止
- ホワイトリスト:社員証を持っている人だけ入館OK
この「どちらを基準にするか」がポイントです。
定義・仕組み
ブラックリストとホワイトリストは、ファイアウォールやWAFなどで使われるアクセス制御の方式です。
ブラックリスト方式
- 初期状態:すべて許可
- 「禁止したい対象」を登録
- 該当するものを遮断
👉 例:
- 特定のIPアドレス
- 攻撃パターン(WAFの場合)
ホワイトリスト方式
- 初期状態:すべて拒否
- 「許可する対象」を登録
- 登録されたものだけ通す
👉 例:
- 特定のIPアドレスのみ許可
- 特定のURLのみアクセス可能
SG試験ではここが重要です👇
👉 ブラックリスト=禁止ベース
👉 ホワイトリスト=許可ベース
どんな場面で使う?
ブラックリストが使われる場面
- 既知の攻撃を防ぐ(WAF)
- スパムメール対策
- 不正IPの遮断
👉 「とりあえず全部通すが、危険なものだけ止める」
ホワイトリストが使われる場面
- 社内システムへのアクセス制限
- 重要システムの通信制御
- 委託先アクセスの限定
👉 「安全が確認できたものだけ通す」
業務での判断ポイント
- セキュリティ重視 → ホワイトリスト
- 利便性重視 → ブラックリスト
よくある誤解・混同
❌ 「ブラックリスト=URLやIPのリスト」
→ ⭕ 状況によって対象は変わる
- ファイアウォール → IPアドレス
- WAF → 通信データ(攻撃パターン)
❌ 「WAFはURLをブロックするもの」
→ ⭕ 通信の中身を見て判断する
SG試験では、
👉 「IPやURLの話になっている選択肢」はミスリードの可能性あり
❌ 「ブラックリストとホワイトリストは同じようなもの」
→ ⭕ 初期状態が逆
- ブラックリスト:基本OK → 一部NG
- ホワイトリスト:基本NG → 一部OK
まとめ(試験直前用)
- ブラックリスト=禁止対象を登録して遮断(基本OK)
- ホワイトリスト=許可対象のみ通す(基本NG)
- 何を登録するかは機器によって異なる(IP・URL・パターンなど)
- SG試験では「何を基準に制御しているか」を見抜くのが重要
🔗 関連記事
- 関連記事は準備中です。
ボットとは?遠隔操作される仕組みを理解する【情報セキュリティマネジメント】
- Source: pages\sg\bot.md
- Permalink: /sg/bot/
まず結論
ボットとは、外部から遠隔操作されるマルウェアであり、感染端末を攻撃に利用する仕組みで、SG試験では「誰が操作しているか」「何に使われるか」を見抜くことが重要です。
直感的な説明
ボットは「知らないうちに操られるパソコン」です。
たとえば
- 自分のPCが勝手に大量の通信を送る
- 気づかないうちに攻撃の加害者になる
といった状態になります。
イメージとしては、
操作者(攻撃者)→指示を出すサーバ→乗っ取られたPC群→攻撃対象
という流れです。
定義・仕組み
ボットは、感染すると外部からの命令で動くようになります。
基本構成(試験でよく出る)
- ボットハーダー(攻撃者)
- ボットを操作する人
- C&Cサーバ(Command and Control)
- ボットに命令を送るサーバ
- ボット(感染端末)
- 指示に従って動くコンピュータ
- ボットネット
- 複数のボットが連携したネットワーク
何をするのか
- DDoS攻撃(大量アクセス)
- スパムメール送信
- 情報収集(個人情報など)
- 不正アクセスの踏み台
SG試験では、
「1台ではなく多数で攻撃する」点が重要な特徴です。
どんな場面で使う?
使うべき場面(試験・実務)
- DDoS攻撃の原因を考えるとき
- 不審な大量通信の原因分析
- セキュリティ対策(EDR・監視など)
間違えやすい場面
- 単体のウイルスと混同する
→ ボットは「遠隔操作+ネットワーク連携」がポイント
よくある誤解・混同
① ボットとウイルスの混同
- ❌ ボット=ウイルスの一種
- ⭕ ボットは遠隔操作される仕組みが本質
👉 増殖より「操作される」が重要
② ボットネットの誤解
- ❌ ボットネット=サーバ
- ⭕ ボットネット=感染した端末の集まり
👉 C&Cサーバとは別物
③ 攻撃者との関係
- ❌ ボットが自動で攻撃する
- ⭕ 攻撃者がC&Cサーバ経由で指示する
👉 「誰が操作しているか」を意識
SG試験での典型パターン
- 「遠隔操作される」かどうか
- 「複数端末で攻撃する」かどうか
- 「C&Cサーバの存在」
選択肢で
「自己増殖」や「ファイル感染」と書いてあれば
→ ボットではない可能性が高い
まとめ(試験直前用)
- ボット=遠隔操作されるマルウェア
- C&Cサーバが命令を出す
- ボットネット=感染端末の集合
- 主な用途はDDoS・スパム・踏み台
- 判断基準は「遠隔操作・複数端末・指令サーバ」
🔗 関連記事
- 関連記事は準備中です。
ブルートフォース攻撃とは?総当たり攻撃の仕組みと対策【情報セキュリティマネジメント】
- Source: pages\sg\brute-force-attack.md
- Permalink: /sg/brute-force-attack/
まず結論
- ブルートフォース攻撃とは、IDとパスワードの組み合わせを総当たりで試して認証を突破する攻撃であり、SG試験では「どの認証対策が有効か」を判断させる問題として出題される。
直感的な説明
ブルートフォース攻撃は、
👉「鍵を1つずつ試して開ける」
イメージです。
例えば、
- 0000 → 0001 → 0002 … と順番に試す
👉 いつか正解に当たる
👉 シンプルだけど確実な攻撃です。
定義・仕組み
ブルートフォース攻撃(総当たり攻撃)は、
👉 考えられるすべてのパスワードを試すことで
👉 正しい認証情報を見つける攻撃です。
攻撃の特徴
- 技術的に高度ではない
- 時間をかければ成功する可能性がある
- パスワードが短い・単純だと危険
関連する攻撃
-
リバースブルートフォース攻撃
→ パスワードを固定してIDを総当たり -
辞書攻撃
→ よく使われるパスワードを試す
👉 SG試験ではこれらの違いを問われる
どんな場面で使う?
攻撃される場面
- ログイン認証(ID・パスワード)
- Webサービス
- 社内システム
防ぐ場面(対策)
- アカウントロック(一定回数失敗で停止)
- 多要素認証(MFA)
- パスワードの複雑化・長文化
- ログイン試行の制限(レート制限)
SG試験での考え方
👉 「試行回数を制限できているか?」
- 無制限 → 危険
- 制限あり → 有効な対策
よくある誤解・混同
❌ 誤解①:特殊な技術攻撃
👉 ⭕ 実際は
- 単純な試行の繰り返し
❌ 誤解②:パスワードが漏れている攻撃
👉 ⭕ 違う
- 推測して当てる攻撃
(漏えいはリスト型攻撃)
❌ 誤解③:1回で成功する攻撃
👉 ⭕ 違う
- 何度も試すことが前提
SG試験のひっかけポイント
- 「パスワードの暗号化」で防げるとする選択肢
→ ❌ 不十分
👉 正しくは
- 試行回数の制限や多要素認証
まとめ(試験直前用)
- ブルートフォース攻撃=「総当たりでパスワードを試す」
- シンプルだが確実な攻撃
- 対策は
👉 試行回数制限+多要素認証 - 試験では
👉 「推測型か漏えい型か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
よく出るポート番号とは?試験での見分け方を整理【SG試験】
- Source: pages\sg\common-port-numbers.md
- Permalink: /sg/common-port-numbers/
まず結論
よく出るポート番号とは、ネットワーク通信でサービスごとに決まっている番号のうち、SG試験で頻出のもの(HTTPやSMTPなど)です。
SG試験では、単なる暗記ではなく、どのサービスの通信かを見抜いて選択肢を切れるかが問われます。
直感的な説明
ポート番号は、サーバの中にある「受付窓口」の番号のようなものです。
同じサーバでも、Webを見るのか、メールを送るのかで、入る場所が違います。
たとえば、
- Webページを見る → HTTP(80番)
- メールを送る → SMTP(25番)
というように、「何をしたいか」で入口が決まっています。
SG試験では、この入口を見て
「この通信は正しいか?」
「違うサービスと混ざっていないか?」
を判断させてきます。
定義・仕組み
ポート番号とは、TCPやUDP通信で、どのアプリケーションにデータを渡すかを識別する番号です。
代表的なポート番号は次のとおりです。
| プロトコル | 役割 | ポート番号 |
|---|---|---|
| HTTP | Web通信 | 80 |
| HTTPS | 暗号化されたWeb通信 | 443 |
| SMTP | メール送信 | 25 |
| POP3 | メール受信 | 110 |
| IMAP | メール受信 | 143 |
| DNS | 名前解決 | 53 |
SG試験ではすべてを覚える必要はありませんが、
HTTP・HTTPS・SMTP・POP3・DNSあたりは特に頻出です。
また、通信の基本ルールも重要です。
- サーバ側:固定のポート番号(上の表)
- クライアント側:1024以上の動的ポート
この仕組みを理解していると、選択肢の正誤を判断しやすくなります。
どんな場面で使う?
ファイアウォール設定の判断
業務では、必要な通信だけを通すために、ポート番号を指定して制御します。
たとえば、
- Web閲覧を許可 → 80番・443番を許可
- メール送信を許可 → 25番を許可
というように使います。
SG試験では、
「どのポートを許可すべきか」
という形で問われることが多いです。
通信の正誤判断
試験では、通信の表や図が出てきて、
「この通信は正しいか?」
と問われることがあります。
そのとき、ポート番号を見て、
- HTTPなのに25番 → おかしい
- SMTPなのに110番 → おかしい
と判断できることが重要です。
使うと誤解しやすい場面
ポート番号だけを暗記していると、
送信元とあて先の区別がつかなくなることがあります。
SG試験では、
送信元ポートとあて先ポートを入れ替えたひっかけ
がよく出るので注意が必要です。
よくある誤解・混同
SMTPとPOP3の混同
メール関連で最も多いひっかけです。
- SMTP:送信(25)
- POP3:受信(110)
選択肢では、SMTPなのに110番が書かれていたら誤りです。
HTTPとHTTPSの混同
- HTTP:80
- HTTPS:443
「暗号化されている」と書かれていたらHTTPS(443)です。
ここもSG試験ではよく問われます。
DNSの扱いの誤解
DNSは53番ですが、
TCPとUDPの両方で使われることがあります。
SG試験では細かいプロトコルよりも、
名前解決=53番 と覚えておけば十分です。
クライアントも固定ポートを使うという誤解
初心者がよく混同するポイントです。
- サーバ:固定ポート(80や25など)
- クライアント:1024以上の動的ポート
この区別ができないと、選択肢を正しく切れません。
まとめ(試験直前用)
よく出るポート番号は、サービスごとに決まった通信の入口です。
SG試験では、HTTP(80)、HTTPS(443)、SMTP(25)、POP3(110)、DNS(53)を押さえることが重要です。
選択肢では、サービスとポート番号の不一致、送信元とあて先の入れ替え、SMTPとPOP3の混同に注意します。
迷ったら、サーバは固定ポート、PCは1024以上というルールで判断すると切りやすくなります。
🔗 関連記事
- 関連記事は準備中です。
クリプトジャッキングとは?不正マイニングの仕組みを理解する【情報セキュリティマネジメント】
- Source: pages\sg\cryptojacking.md
- Permalink: /sg/cryptojacking/
まず結論
クリプトジャッキングとは、利用者のPCやサーバの計算資源を無断で使い、仮想通貨のマイニングを行う不正行為(マルウェア)であり、SG試験では「資源の不正利用」と「気づきにくさ」を見抜くことが重要です。
直感的な説明
クリプトジャッキングは「勝手にパソコンを働かせてお金を稼ぐ攻撃」です。
たとえば
- PCが急に重くなる
- CPU使用率が高い状態が続く
- ファンが回りっぱなし
といった状態になります。
👉 自分のPCが“こっそり働かされている”状態です
定義・仕組み
クリプトジャッキングは、マルウェアなどを使って端末の計算能力を奪います。
基本の流れ
- マルウェア感染 or Webスクリプト実行
- マイニングプログラムが起動
- CPU・GPUを使って計算処理
- 仮想通貨が攻撃者に送られる
マイニングとは(試験用に簡潔)
- 仮想通貨の取引を成立させるための計算処理
- 計算の報酬として仮想通貨が得られる
👉 本来は自分の機器で行うもの
特徴
- データ破壊はしない(気づきにくい)
- 長時間にわたり資源を消費
- 複数端末で行われることもある
SG試験では、
「情報を盗むわけでも壊すわけでもない」点が重要な特徴です。
どんな場面で使う?
使うべき場面(試験・実務)
- PCが異常に重い原因の分析
- サーバ負荷の異常検知
- 不審なプロセスの調査
間違えやすい場面
- マルウェア=情報漏えいと思い込む
→ クリプトジャッキングは「資源の悪用」
よくある誤解・混同
① ランサムウェアとの違い
- ❌ 仮想通貨=身代金要求
- ⭕ クリプトジャッキングは勝手に稼ぐ、ランサムウェアは要求する
② スパイウェアとの違い
- ❌ 情報を盗む攻撃
- ⭕ 目的は情報ではなく計算資源
③ ボットとの関係
- ❌ 無関係
- ⭕ ボットネットを使って大規模に行われることがある
SG試験での典型パターン
- 「CPU使用率が異常に高い」
- 「端末の動作が遅くなる」
- 「仮想通貨のマイニング」
選択肢で
「データを暗号化」や「情報を送信」とあれば
→ 別のマルウェアであり誤り
まとめ(試験直前用)
- クリプトジャッキング=計算資源の不正利用
- 仮想通貨マイニングに使われる
- データ破壊や情報漏えいは目的ではない
- 気づきにくく長期間続く
- 判断基準は「CPUなど資源を勝手に使うか」
🔗 関連記事
- 関連記事は準備中です。
CRYPTRECとは?暗号の安全性評価の役割を理解する【情報セキュリティマネジメント】
- Source: pages\sg\cryptrec.md
- Permalink: /sg/cryptrec/
まず結論
- CRYPTRECは、安全な暗号技術を評価・推奨する日本のプロジェクトである。
- SG試験では「暗号の評価」か「インシデント対応(JPCERT/CC)」かを見分ける問題が多い。
直感的な説明
会社でシステムを作るとき、
- どの暗号を使えば安全か?
- 古い暗号は危険じゃないか?
と迷いますよね。
CRYPTRECは、
「この暗号は安全に使えるよ」とお墨付きを出す専門チームです。
👉 イメージ
- CRYPTREC:暗号の品質チェック担当
- JPCERT/CC:事故対応担当
定義・仕組み
CRYPTREC(Cryptography Research and Evaluation Committees)は、
- 電子政府などで利用する暗号の
- 安全性評価
- 推奨リストの作成
を行うプロジェクトです。
主な役割
- 暗号アルゴリズムの安全性評価
- 推奨暗号リストの作成・公開
- 暗号技術の運用指針の検討
運営
- 総務省・経済産業省が中心となって運営
ポイント
- 暗号の安全性を評価するのが役割
- 実際のインシデント対応はしない
- 電子政府で使う暗号の基準になる
SG試験では
「暗号の評価」=CRYPTREC
と覚えると判断しやすくなります。
どんな場面で使う?
使う場面(正しい理解)
- システムで使用する暗号方式を選定するとき
- 安全な暗号を採用する基準を決めるとき
- 電子政府や重要システムの設計
使うと誤解しやすい場面
- ❌ インシデント対応(それはJPCERT/CC)
- ❌ 社内のセキュリティ運用(それはCSIRTやISMS)
よくある誤解・混同
① JPCERT/CCとの違い
- JPCERT/CC:インシデント対応支援
- CRYPTREC:暗号の安全性評価
👉 SG試験ではここをよく混同させてくる
② CSIRTとの違い
- CSIRT:組織内での対応チーム
- CRYPTREC:技術評価(暗号)
👉 「対応するか?評価するか?」で切る
③ SG試験のひっかけ
SG試験では次のような表現に注意:
- 「インシデント対応」「報告受付」→×
- 「暗号技術の評価・推奨」→○
👉 選択肢では
“暗号”というキーワードがあるかをチェック
まとめ(試験直前用)
- CRYPTREC=暗号の安全性評価・推奨プロジェクト
- 総務省・経産省が中心
- 選択肢では
- 「インシデント対応」→×
- 「組織内対応」→×
- 「暗号の評価・推奨」→○
👉 「暗号か?インシデントか?」で切る
🔗 関連記事
- 関連記事は準備中です。
サイバーキルチェーンとは?攻撃の流れから対策を考える【情報セキュリティマネジメント】
- Source: pages\sg\cyber-kill-chain.md
- Permalink: /sg/cyber-kill-chain/
まず結論
- サイバーキルチェーンとは、攻撃の流れを段階(フェーズ)に分けて整理し、どこで攻撃を止めるかを考えるフレームワークであり、SG試験では「各段階に対応する対策を選べるか」が問われる。
直感的な説明
サイバーキルチェーンは、
👉「攻撃は1回ではなく、段階的に進む」
👉「どこか1つでも止めれば被害を防げる」
という考え方です。
イメージとしては、
- 下見
- 準備
- 侵入
- 操作
- 目的達成
という流れを分解して見える化したものです。
定義・仕組み
サイバーキルチェーンは、標的型攻撃の流れを次の7段階で表します。
- 偵察(Reconnaissance)
- 標的の情報収集(組織・社員・システム)
- 武器化(Weaponization)
- 攻撃用マルウェアやファイルを作成
- 配送(Delivery)
- メールやWebで攻撃を送り込む
- 攻撃(Exploitation)
- 脆弱性を突いて侵入
- インストール(Installation)
- マルウェアを定着させる
- C&C(Command & Control)
- 外部から遠隔操作できる状態にする
- 目的の実行(Actions on Objectives)
- 情報窃取や破壊などを実行
重要なポイント
👉 どの段階でも止められれば攻撃は成立しない
どんな場面で使う?
使う場面
- セキュリティ対策の設計
- インシデント対応(どの段階かの特定)
- ログ分析・監視
SG試験での考え方
各段階に対応する対策を結びつけることが重要です。
| フェーズ | 対策例 |
|---|---|
| 偵察 | 公開情報の管理 |
| 配送 | メールフィルタ |
| 攻撃 | パッチ適用 |
| インストール | ウイルス対策 |
| C&C | 通信監視 |
| 実行 | 権限制御・ログ監視 |
👉 「どの段階を防ぐ対策か」で判断する
よくある誤解・混同
❌ 誤解①:侵入防止だけが重要
👉 ⭕ 実際は
- 検知
- 被害抑止
も同じくらい重要
❌ 誤解②:1つの対策で防げる
👉 ⭕ サイバーキルチェーンは
- 複数の段階に対策を配置する前提
❌ 誤解③:攻撃は一瞬で起こる
👉 ⭕ 実際は
- 段階的に進行するため
👉 途中で気づいて止めることができる
SG試験のひっかけポイント
- 「どのフェーズの対策か」を問う問題
- 似た対策(例:認証 vs 通信監視)を混同させる
👉 フェーズと対策の対応を意識する
まとめ(試験直前用)
- サイバーキルチェーン=攻撃を7段階に分解した考え方
- 重要なのは
👉 「どこで止めるか」 - 対策は
👉 防止・検知・被害抑止を組み合わせる - 試験では
👉 「この対策はどのフェーズか」で判断する
🔗 関連記事
- 関連記事は準備中です。
DDoS攻撃とは?サービス停止を狙う攻撃の仕組み【情報セキュリティマネジメント】
- Source: pages\sg\ddos.md
- Permalink: /sg/ddos/
まず結論
- DDoS攻撃とは、多数の端末から大量の通信を送りつけてサーバを過負荷にし、サービスを停止させる攻撃です。
- SG試験では「情報を盗むのではなく、使えなくする攻撃かどうか」を見抜けるかが問われます。
直感的な説明
人気サイトに一気に何万人もアクセスしたら、サーバが重くなって落ちますよね。
それをわざと大量のアクセスで起こすのがDDoS攻撃です。
👉 「壊す」のではなく「使えなくする」攻撃
定義・仕組み
DDoS(Distributed Denial of Service)攻撃は、複数の端末(ボットなど)から標的サーバに大量の通信を送りつけ、サービス提供を妨害する攻撃です。
基本の流れ
- 攻撃者が多数の端末(ボット)を用意
- 一斉に標的サーバへリクエスト送信
- サーバが処理しきれなくなる
- 正常ユーザーが利用できなくなる
👉 分散(Distributed)しているのがポイント
どんな場面で使う?
よくある目的
- Webサイトの停止(ECサイト、企業サイトなど)
- サービス妨害による信用低下
- 他の攻撃の目くらまし
業務でのポイント
- 可用性(Availability)への影響が大きい
- 負荷分散やWAFなどの対策が重要
- 監視と迅速な対応体制が必要
👉 CIAの「A(可用性)」を狙う攻撃
よくある誤解・混同
❌ フィッシングとの違い
- フィッシング:情報を盗む
- DDoS:サービスを止める
👉 盗取か停止かで判断
❌ DoS攻撃との違い
- DoS:1つの端末から攻撃
- DDoS:複数の端末から分散攻撃
👉 規模と分散性が違う
❌ マルウェアとの関係
- マルウェア:端末を感染させる
- DDoS:その端末を使って攻撃することがある
👉 ボットネットとして利用される点に注意
SG試験でのひっかけ
-
「大量アクセス」「サーバ過負荷」「サービス停止」
→ DDoS攻撃 -
「情報を盗む」なら別の攻撃(フィッシングなど)
まとめ(試験直前用)
- DDoS=大量通信でサービス停止
- 情報漏えいではなく可用性低下が目的
- DoSとの違いは「分散」
- 「大量アクセス」「停止」がキーワードなら即判断
🔗 関連記事
- 関連記事は準備中です。
辞書攻撃とは?効率的なパスワード破解の仕組み【情報セキュリティマネジメント】
- Source: pages\sg\dictionary-attack.md
- Permalink: /sg/dictionary-attack/
まず結論
- 辞書攻撃とは、よく使われる単語やパスワードをまとめたリスト(辞書)を使って認証を突破する攻撃であり、SG試験では「ブルートフォースとの違い」と「なぜ効率が良いか」を判断させる問題として出題される。
直感的な説明
ブルートフォース攻撃は「全部試す」ですが、
辞書攻撃は 👉「当たりそうなものだけ試す」攻撃です。
例えば、
- password
- 123456
- qwerty
👉 よく使われるパスワードを優先的に試します。
定義・仕組み
辞書攻撃は、
👉 あらかじめ用意された「パスワードリスト(辞書)」を使って
👉 順番に試行することで認証突破を狙う攻撃です。
なぜ効率が良いか
- 多くのユーザが似たようなパスワードを使う
- 総当たりより試行回数が少ない
👉 短時間で成功する可能性が高い
ブルートフォースとの違い
| 攻撃 | 特徴 |
|---|---|
| ブルートフォース | すべての組み合わせを試す |
| 辞書攻撃 | よく使われるものだけ試す |
関連する攻撃
- リスト型攻撃(パスワードリスト攻撃)
→ 流出したID・パスワードをそのまま使う
👉 SG試験ではこの違いが重要
どんな場面で使う?
攻撃される場面
- Webサービスのログイン
- 社内システム
- パスワードが単純な環境
防ぐ場面(対策)
- パスワードの複雑化(長さ・記号)
- 多要素認証(MFA)
- パスワードの使い回し禁止
- ログイン試行の制限
SG試験での考え方
👉 「なぜ効率が良いのか?」
- 人は単純なパスワードを使いがち
👉 そこを狙っている
よくある誤解・混同
❌ 誤解①:ブルートフォースと同じ
👉 ⭕ 違う
- 総当たりか
- 優先的試行か
❌ 誤解②:パスワードが漏えいしている
👉 ⭕ 違う
- 推測して試す攻撃
(漏えいはリスト型攻撃)
❌ 誤解③:時間がかかる攻撃
👉 ⭕ むしろ効率的
- 少ない試行で成功しやすい
SG試験のひっかけポイント
- 「辞書攻撃=総当たり」とする選択肢
→ ❌ 誤り
👉 正しくは
- 優先順位をつけて試す攻撃
まとめ(試験直前用)
- 辞書攻撃=「よく使われるパスワードを優先して試す」
- 総当たりより効率が良い
- 対策は
👉 複雑なパスワード+MFA - 試験では
👉 「総当たりか効率型か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
DNSキャッシュポイズニングとは?偽サイトへ誘導する攻撃【情報セキュリティマネジメント】
- Source: pages\sg\dns-cache-poisoning.md
- Permalink: /sg/dns-cache-poisoning/
まず結論
- DNSキャッシュポイズニングは、DNSサーバの情報を書き換えて正規サイトの代わりに偽サイトへ誘導する攻撃
- SG試験では「通信前の行き先を書き換える攻撃」として判断できるかが問われる
直感的な説明
普段は「銀行のURL」を入力すると、正しい銀行サイトに接続されます。
しかしこの攻撃では、
- 見た目は同じURLなのに
- 裏側の案内(住所)が書き換えられていて、偽サイトに連れていかれる
イメージとしては、
「正しい住所を書いたのに、案内板が勝手に書き換えられて別の場所に誘導される」感じです。
定義・仕組み
DNSキャッシュポイズニングは、DNSサーバのキャッシュ情報を不正に書き換える攻撃です。
流れはシンプルです。
- DNSサーバに不正な情報を登録させる
- 正規サイトのドメインに対して
- 攻撃者のサーバのIPアドレスを返すようにする
- 利用者は気づかず偽サイトへ接続する
ポイントはここです:
- ユーザのPCではなく
- DNSサーバ側がだまされている
そのため、利用者は正しいURLを入力しても被害に遭います。
どんな場面で使う?
使われる場面
- インターネットバンキング
- ECサイト
- ログインページ全般
→ ID・パスワードを入力させたい場面で使われる
注意すべき場面(誤解しやすい)
- ブラウザ内で改ざんするわけではない
- メールで誘導するわけでもない
SG試験では
「どこで操作が行われているか(DNSか、ブラウザか)」が重要
よくある誤解・混同
フィッシングとの違い
- フィッシング:メールなどで偽サイトに誘導
- DNSポイズニング:正しいURLでも偽サイトに行く
👉 「メール」「URLリンク」が出てきたらフィッシング
Man-in-the-Browserとの違い
- MITB:ブラウザ内で改ざん
- DNS:接続先そのものを変える
👉 「マルウェアがブラウザ内で改ざん」はMITB
Man-in-the-Middleとの違い
- MITM:通信途中で盗聴・改ざん
- DNS:接続前に行き先を変える
👉 「中継」「盗聴」があればMITM
まとめ(試験直前用)
- DNSポイズニング=行き先(IPアドレス)を書き換える攻撃
- 正しいURLでも偽サイトに誘導される
- フィッシング:メール誘導
- MITB:ブラウザ内改ざん
- MITM:通信途中で改ざん
- 「DNSキャッシュを書き換える」とあれば正解
🔗 関連記事
- 関連記事は準備中です。
ドメイン名ハイジャックとは?DNSを悪用したなりすましの仕組み【情報セキュリティマネジメント】
- Source: pages\sg\domain-hijacking.md
- Permalink: /sg/domain-hijacking/
まず結論
- ドメイン名ハイジャックとは、DNS情報を書き換えて正規のWebサイトを偽サイトにすり替える攻撃であり、SG試験では「DNSの改ざんによるなりすまし」と「どの対策が有効か」を判断させる問題として出題される。
直感的な説明
ドメイン名ハイジャックは、
👉「住所録を書き換えて、別の場所に案内する」
攻撃です。
例えば、
- 「銀行のサイトにアクセスしたつもり」でも
👉 実際は攻撃者の偽サイトに接続される
👉 見た目が同じなので気づきにくいのが特徴です。
定義・仕組み
ドメイン名ハイジャックは、DNSの仕組みを悪用します。
通常:
- google.com → 正しいIPアドレス
攻撃時:
- google.com → 攻撃者のIPアドレス
攻撃の流れ
- DNSサーバの情報を書き換える
- ユーザが通常通りURLを入力
- 偽のIPアドレスが返る
- 偽サイトに誘導される
👉 ユーザは気づかず情報を入力してしまう
関連する攻撃
- DNSキャッシュポイズニング
- フィッシング(誘導後の詐取)
👉 「誘導」と「だまし」を組み合わせた攻撃
どんな場面で使う?
攻撃される場面
- DNSサーバの設定が弱い場合
- キャッシュの管理が不十分な場合
- ドメイン管理が不適切な場合
防ぐ場面(対策)
- DNSSEC(DNSの正当性確認)
- ドメイン管理の厳格化
- HTTPS証明書の確認
SG試験での考え方
👉 「どこが改ざんされているか」
- 通信内容 → 変わっていない
- 接続先 → 変わっている(ここがポイント)
よくある誤解・混同
❌ 誤解①:中間者攻撃と同じ
👉 ⭕ 似ているが違う
- 中間者攻撃:通信の途中に割り込む
- ドメイン名ハイジャック:最初から偽サイトに誘導
❌ 誤解②:IPスプーフィングと同じ
👉 ⭕ 違う
- IPスプーフィング:送信元を偽装
- ドメイン名ハイジャック:行き先を偽装
❌ 誤解③:ウイルス感染が必要
👉 ⭕ 不要
- DNSを書き換えるだけで成立
SG試験のひっかけポイント
- 「通信を盗聴する攻撃」とする選択肢
→ ❌ 不正確
👉 正しくは
- 接続先を偽装する攻撃
まとめ(試験直前用)
- ドメイン名ハイジャック=「DNSを書き換えて偽サイトへ誘導」
- 特徴は
👉 見た目では気づきにくい - 対策は
👉 DNSの正当性確認+証明書確認 - 試験では
👉 「通信途中か/接続先か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
ハニーポットとは?攻撃者をおびき寄せる仕組み【情報セキュリティマネジメント】
- Source: pages\sg\honeypot.md
- Permalink: /sg/honeypot/
まず結論
- ハニーポットとは、攻撃者をおびき寄せて行動を監視・分析するための仕組みです。
- SG試験では「攻撃を防ぐのではなく観察する目的かどうか」を判断できるかがポイントです。
直感的な説明
ハニーポットは「おとり」です。
泥棒を捕まえるために、わざと魅力的な家を用意して監視するイメージです。
攻撃者にとって「入りやすそう」に見えるシステムを用意して、
そこでの行動を観察します。
👉 ポイントは
「守る」ではなく「誘う」です。
定義・仕組み
ハニーポットとは、
攻撃者を意図的に誘導し、その行動や手口を記録・分析する仕組み
です。
主な目的:
- 攻撃手法の把握
- 不正アクセスの検知
- インシデント対応の強化
基本的な流れ:
- 本物そっくりのシステムを用意
- 攻撃者を誘導する
- アクセスや操作を記録・分析する
👉 実際の業務では
「新しい攻撃手法の情報収集」や「早期検知」に役立ちます。
どんな場面で使う?
使うべき場面
- 不正アクセスの傾向を把握したいとき
- 攻撃手法を分析したいとき
- セキュリティ監視の強化
誤解しやすい場面
- 攻撃を防ぐ仕組みとして使う
→ ハニーポットは防御ではなく観測・分析です
よくある誤解・混同
❌ よくある誤解
- 「攻撃を遮断する仕組み」
- 「プログラムの影響を制限する仕組み」
⭕ 正しい理解
- 攻撃者を誘導して行動を監視する仕組み
SG試験でのひっかけ
SG試験では次のように混同させてきます。
- 「通信の中身を見て遮断」
→ WAF - 「実行範囲を制限する」
→ サンドボックス - 「攻撃者を誘導して監視する」
→ ハニーポット(これが正解)
👉 選択肢では
「おびき寄せる」「監視する」と書かれていたらハニーポットです。
まとめ(試験直前用)
- ハニーポット=攻撃者を誘導して監視する仕組み
- 目的は防御ではなく分析・検知
- 「おとり」「監視」「行動分析」がキーワード
- SG試験では
→ WAF・サンドボックスとの違いで出題されやすい
🔗 関連記事
- 関連記事は準備中です。
IPスプーフィングとは?送信元偽装の仕組みと対策【情報セキュリティマネジメント】
- Source: pages\sg\ip-spoofing.md
- Permalink: /sg/ip-spoofing/
まず結論
- IPスプーフィングとは、送信元のIPアドレスを偽装して通信する攻撃であり、SG試験では「なりすましの種類」と「防御できる仕組み」を判断させる問題として出題される。
直感的な説明
IPアドレスは「通信の送り主の住所」です。
IPスプーフィングは、 👉「差出人の住所を偽る」攻撃です。
例えば、
- 本当は攻撃者なのに
👉 正規サーバや信頼できる機器になりすます
👉 受け取る側は「信頼できる相手」と勘違いします。
定義・仕組み
IPスプーフィングは、IPパケットの送信元アドレスを書き換えることで成立します。
攻撃の流れ
- 攻撃者が送信元IPを偽装
- サーバに通信を送る
- サーバは正規の相手と誤認
- 不正な通信が成立する
主な利用目的
- アクセス制御の回避(IP制限の突破)
- DDoS攻撃の隠蔽(発信元の特定を困難にする)
- 他の攻撃(中間者攻撃など)の補助
どんな場面で使う?
攻撃される場面
- IPアドレスだけで認証しているシステム
- ネットワーク内部を信頼しすぎている環境
防ぐ場面(対策)
- パケットフィルタリング(不正なIPの遮断)
- 認証の強化(IPだけに依存しない)
- 侵入検知システム(IDS/IPS)
SG試験での考え方
👉 「IPアドレス=本人確認ではない」
- IPは簡単に偽装できる
👉 認証としては不十分
よくある誤解・混同
❌ 誤解①:通信内容を盗む攻撃
👉 ⭕ 違う
- IPスプーフィングは「なりすまし」
(盗聴は中間者攻撃)
❌ 誤解②:DNSの問題
👉 ⭕ 違う
- DNS:名前→IP変換
- IPスプーフィング:送信元の偽装
❌ 誤解③:これだけで侵入できる
👉 ⭕ 単独では難しい
- 他の攻撃と組み合わせて使われることが多い
SG試験のひっかけポイント
- 「IP制限をしていれば安全」とする選択肢
→ ❌ 不十分
👉 正しくは
- IPだけに依存しない認証が必要
まとめ(試験直前用)
- IPスプーフィング=「送信元IPの偽装」
- 目的は
👉 なりすまし・追跡回避 - IPは認証として弱い
- 試験では
👉 「なりすましか盗聴か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
キーロガーとは?入力情報を盗む仕組みを理解する【情報セキュリティマネジメント】
- Source: pages\sg\keylogger.md
- Permalink: /sg/keylogger/
まず結論
キーロガーとは、キーボード入力を記録し、IDやパスワードなどの情報を盗むマルウェア(または仕組み)であり、SG試験では「認証情報の漏えい原因」として判断できることが重要です。
直感的な説明
キーロガーは「入力内容を盗み見する装置」です。
たとえば
- ログインID・パスワードを入力する
- その内容がそのまま記録・送信される
というように、ユーザーが入力した情報がそのまま盗まれるのが特徴です。
見た目では気づきにくく、
「普通に使っているだけで情報が漏れる」のが怖いポイントです。
定義・仕組み
キーロガーは、キーボード入力を監視し、その情報を記録・送信します。
動作の流れ
- 端末にキーロガーが仕込まれる
- ユーザーがキーボード入力を行う
- 入力内容が記録される
- 外部へ送信される
種類
- ソフトウェア型
- マルウェアとして動作(スパイウェアの一種)
- ハードウェア型
- キーボードとPCの間に装着される装置
特徴
- 認証情報(ID・パスワード)を狙う
- 気づかれにくい
- 不正ログインの原因になる
SG試験では、
「入力情報が漏えいする原因」=キーロガーと判断できるかがポイントです。
どんな場面で使う?
使うべき場面(試験・実務)
- 不正ログインの原因分析
- 情報漏えいの調査
- 認証強化(多要素認証など)の検討
間違えやすい場面
- 通信盗聴と混同
→ キーロガーは「端末内で入力を記録」
よくある誤解・混同
① スパイウェアとの関係
- ❌ キーロガーは別の攻撃
- ⭕ キーロガーはスパイウェアの一種
② フィッシングとの違い
- ❌ ID・パスワードが盗まれる=同じ
- ⭕ フィッシングはだまして入力させる、キーロガーは入力を盗む
③ 通信盗聴との違い
- ❌ ネットワークで盗まれる
- ⭕ 端末内で入力時に記録される
SG試験での典型パターン
- 「キーボード入力が記録される」
- 「ID・パスワードが漏えい」
- 「不正ログインの原因」
選択肢で
「偽サイトに誘導」とあれば
→ フィッシングであり誤り
まとめ(試験直前用)
- キーロガー=キーボード入力を記録する仕組み
- ID・パスワード漏えいの原因になる
- スパイウェアの一種
- ハードウェア型もある
- 判断基準は「入力時に盗まれるかどうか」
🔗 関連記事
- 関連記事は準備中です。
マクロウイルスとは?Officeファイル経由の感染を理解する【情報セキュリティマネジメント】
- Source: pages\sg\macro-virus.md
- Permalink: /sg/macro-virus/
まず結論
マクロウイルスとは、WordやExcelなどのマクロ機能を悪用して感染・拡散するウイルスであり、SG試験では「ファイルを開くことで感染する点」を見抜くことが重要です。
直感的な説明
マクロウイルスは「便利機能に見せかけた危険な仕組み」です。
たとえば
- 「このExcelを開いてください」とメールで送られる
- 開いた瞬間にマクロが動いて感染
というように、ユーザーの操作(開く)をきっかけに感染するのが特徴です。
業務でもよく使うOfficeファイルが入口になるため、
気づきにくく、広がりやすいのがポイントです。
定義・仕組み
マクロウイルスは、アプリケーションのマクロ機能を利用して動作します。
マクロとは
- WordやExcelにある自動処理機能(VBAなど)
- 作業を効率化するための仕組み
👉 これを悪用したのがマクロウイルス
感染の流れ
- メールやダウンロードでファイルを受け取る
- ファイルを開く
- マクロが実行される
- ウイルスが動作・感染拡大
特徴
- ファイルに埋め込まれる(宿主あり)
- 自己増殖する場合がある
- Officeファイル経由で広がる
SG試験では、
「マクロを実行させること」が感染のトリガーになる点が重要です。
どんな場面で使う?
使うべき場面(試験・実務)
- メールの添付ファイル対策
- 社内でのセキュリティ教育(マクロ無効化など)
- Officeファイルの安全確認
間違えやすい場面
- すべてのウイルスが自動感染すると思う
→ マクロウイルスは「開く+実行」が必要
よくある誤解・混同
① 通常のウイルスとの違い
- ❌ すべてのウイルスは同じ感染方法
- ⭕ マクロウイルスは「ファイル+マクロ実行」が条件
② ワームとの混同
- ❌ マクロウイルスもネットワークで勝手に広がる
- ⭕ ユーザー操作が必要(開く・許可する)
③ マクロ=危険という誤解
- ❌ マクロは全部危険
- ⭕ マクロ自体は便利な機能で、悪用されると危険
SG試験での典型パターン
- 「メール添付のOfficeファイル」
- 「マクロを有効にする操作」
- 「開いたことで感染」
選択肢で
「ネットワーク経由で自動増殖」とあれば
→ ワームの可能性が高い
まとめ(試験直前用)
- マクロウイルス=マクロ機能を悪用したウイルス
- Officeファイルに埋め込まれる
- 感染には「開く+マクロ実行」が必要
- ワームとの違いは「自動拡散しない」点
- 判断基準は「マクロ実行がトリガーかどうか」
🔗 関連記事
- 関連記事は準備中です。
マルウェアとは?種類と見分け方を整理【情報セキュリティマネジメント】
- Source: pages\sg\malware.md
- Permalink: /sg/malware/
まず結論
マルウェアとは、利用者の意図しない不正な動作を行う悪意あるソフトウェアの総称であり、SG試験では「どの種類か」「どう広がるか」を見抜くことが問われます。
直感的な説明
マルウェアは「見た目は普通だけど、中身が危険なアプリ」です。
たとえば
- 添付ファイルを開いたら勝手に情報が送信される
- 無料ソフトだと思ったら裏で不正通信している
といったように、気づかないうちに被害が広がるのが特徴です。
業務でも、
- メール添付
- USBメモリ
- Webダウンロード
など、日常的な操作が感染のきっかけになります。
定義・仕組み
マルウェアは、感染方法や動き方で分類されます。
代表的な種類(試験頻出)
- コンピュータウイルス
- 自己増殖あり
- 他のファイルに寄生して広がる(宿主が必要)
- ワーム
- 自己増殖あり
- 単体でネットワークを通じて広がる(宿主不要)
- トロイの木馬
- 自己増殖なし
- 正常なソフトを装って侵入し、不正動作を行う
その他よく出るもの
- ランサムウェア:データを暗号化して身代金要求
- スパイウェア:情報をこっそり収集
- キーロガー:キーボード入力を記録
- ルートキット:侵入後の痕跡を隠す
- ボット:遠隔操作される端末(ボットネットの一部)
感染経路
- メール添付
- Webサイト閲覧
- 外部メディア(USBなど)
- 不正なダウンロード
SG試験では、
「どうやって侵入し、どう広がるか」までセットで理解することが重要です。
どんな場面で使う?
使うべき場面(試験・実務)
- セキュリティ対策の検討(ウイルス対策ソフト、教育など)
- インシデント対応(感染の特定・拡大防止)
- リスクアセスメント(どの脅威が現実的か)
間違えやすい場面
- すべての不正アクセスを「マルウェア」と思う
→ 設定ミスや人的ミスもあるので区別が必要
よくある誤解・混同
① ウイルスとワームの混同
- ❌ ウイルスもワームも同じ
- ⭕ ウイルスは宿主が必要、ワームは単独で広がる
👉 SG試験ではここをよく問われます
② トロイの木馬の誤解
- ❌ 自己増殖する
- ⭕ 増殖しないが、だまして侵入する
👉 「増えない=安全」ではないので注意
③ マルウェア=ウイルスだけと思う
- ❌ マルウェア=ウイルス
- ⭕ マルウェアは総称(ワーム・ランサムウェアなど含む)
👉 選択肢で「マルウェア=ウイルス」と書いてあれば誤り
SG試験での典型パターン
- 「自己増殖するかどうか」
- 「宿主が必要かどうか」
- 「だまして侵入するか」
この3つで切り分けられるようにするのがポイントです。
まとめ(試験直前用)
- マルウェア=不正動作をするソフトの総称
- ウイルス:宿主あり+増殖する
- ワーム:宿主なし+増殖する
- トロイの木馬:増殖しない+だまして侵入
- 判断基準は「増えるか・宿主が必要か・侵入方法」
🔗 関連記事
- 関連記事は準備中です。
Man-in-the-Browserとは?ブラウザ内改ざん攻撃の仕組み【情報セキュリティマネジメント】
- Source: pages\sg\man-in-the-browser.md
- Permalink: /sg/man-in-the-browser/
まず結論
- Man-in-the-Browser(MITB)は、PC内のマルウェアがブラウザの通信内容を改ざんする攻撃
- SG試験では「通信途中ではなく、ブラウザ内で改ざんしているか」を見抜く問題としてよく出る
直感的な説明
銀行サイトで振込をしたとき、
- 自分は「Aさんに1万円」と入力したつもりなのに
- 実際には「攻撃者の口座に50万円」に書き換えられて送信される
というようなイメージです。
しかも画面上は正常に見えるため、利用者は気づきにくいのがポイントです。
定義・仕組み
Man-in-the-Browser攻撃は、次の流れで行われます。
- PCにマルウェアが感染する
- Webブラウザに入り込む(拡張機能のように動く)
- 利用者がログインや振込操作を行う
- 送信直前のデータを改ざんする(振込先など)
重要なのはここです:
- 通信経路ではなく
- ブラウザの中で書き換える
そのため、HTTPS通信であっても防げない場合があります。
どんな場面で使う?
使われる場面
- インターネットバンキング
- クレジットカード決済
- 個人情報の入力フォーム
→ 「入力→送信」する場面が狙われる
注意すべき場面(誤解しやすい)
- 偽サイトに誘導する攻撃ではない
- 通信途中で盗聴する攻撃でもない
SG試験では
「どこで攻撃しているか(ブラウザ内か通信途中か)」を問われることが多い
よくある誤解・混同
Man-in-the-Middleとの違い
- MITM:通信の途中で盗聴・改ざん
- MITB:ブラウザ内で改ざん
👉 選択肢では「中継サイト」「通信経路」などの表現があればMITM
フィッシングとの違い
- フィッシング:偽サイトに入力させる
- MITB:正規サイト上で改ざんする
👉 「偽サイトに誘導」はフィッシング
DNSキャッシュポイズニングとの違い
- DNS:接続先そのものを偽サイトに変える
- MITB:接続先は正しいが中身が改ざんされる
👉 「DNSを書き換える」は別物
まとめ(試験直前用)
- MITB=ブラウザ内で通信内容を改ざんする攻撃
- ポイントは「通信途中ではなくPC内部」
- フィッシング:偽サイトに誘導
- MITM:通信途中で盗聴・改ざん
- 選択肢で「マルウェアがブラウザ内で改ざん」とあれば正解
🔗 関連記事
- 関連記事は準備中です。
中間者攻撃とは?通信を盗み見る仕組みと対策【情報セキュリティマネジメント】
- Source: pages\sg\man-in-the-middle-attack.md
- Permalink: /sg/man-in-the-middle-attack/
まず結論
- 中間者攻撃とは、通信を行う2者の間に割り込んで、内容を盗聴・改ざんする攻撃であり、SG試験では「暗号化・認証で防げるか」を判断させる問題として出題される。
直感的な説明
中間者攻撃は、
👉「2人の会話の間にこっそり入り込む盗み聞き」
のイメージです。
例えば、
- AさんとBさんが通信しているつもりでも
- 実際は攻撃者を経由して通信している
👉 つまり
「気づかないまま盗まれる」のが特徴です。
定義・仕組み
中間者攻撃(MITM:Man In The Middle)は、
- 攻撃者が通信経路に入り込む
- 通信内容を盗聴する
- 必要に応じて改ざんする
という流れで行われます。
代表的な手口
- Wi-Fiのなりすまし(偽アクセスポイント)
- ARPスプーフィング
- DNSスプーフィング
👉 共通点は
「正しい相手と通信していると錯覚させる」こと
どんな場面で使う?
使われる場面(攻撃)
- 公衆Wi-Fiでの通信
- 暗号化されていない通信(HTTPなど)
- 認証が不十分な通信
防ぐ場面(対策)
- HTTPS(通信の暗号化)
- 証明書の検証(正しい相手か確認)
- VPNの利用
SG試験での考え方
👉 「盗聴・改ざん」を防ぐには何か?
- 暗号化 → 内容を読めなくする
- 認証 → 相手が正しいか確認する
👉 この2つをセットで考える
よくある誤解・混同
❌ 誤解①:通信を止める攻撃
👉 ⭕ 違う
- 中間者攻撃は「盗む・改ざんする」攻撃
(通信停止はDoS攻撃)
❌ 誤解②:ウイルス感染の話
👉 ⭕ 違う
- 通信経路の攻撃
❌ 誤解③:暗号化だけで完全防御
👉 ⭕ 不十分な場合あり
- 偽物のサイトに誘導されると意味がない
👉 認証(証明書確認)も必要
SG試験のひっかけポイント
- 「暗号化だけで防げる」とする選択肢
→ ❌ 不十分
👉 正しくは
- 暗号化+認証の組み合わせ
まとめ(試験直前用)
- 中間者攻撃=「通信の間に割り込んで盗聴・改ざん」
- 特徴は
👉 気づかれにくい - 対策は
👉 暗号化+相手認証 - 試験では
👉 「盗聴か妨害か」をまず切り分ける
🔗 関連記事
- 関連記事は準備中です。
パスワードリスト攻撃とは?使い回しを狙う不正ログイン【情報セキュリティマネジメント】
- Source: pages\sg\password-list-attack.md
- Permalink: /sg/password-list-attack/
まず結論
- パスワードリスト攻撃とは、他サービスから流出したIDとパスワードの組み合わせを使って不正ログインを試みる攻撃であり、SG試験では「推測型攻撃との違い」と「使い回しの危険性」を判断させる問題として出題される。
直感的な説明
パスワードリスト攻撃は、
👉「すでに正解が載っているリストを使う」攻撃です。
例えば、
- どこかのサイトから流出した
IDとパスワードをそのまま使って
👉 他のサイトにログインを試す
👉 同じパスワードを使っていると簡単に突破されます。
定義・仕組み
パスワードリスト攻撃(リスト型攻撃)は、
👉 流出した認証情報(ID・パスワード)を入手し
👉 他のサービスに対してそのまま試す攻撃です。
攻撃の流れ
- 他サービスから認証情報が流出
- 攻撃者がリストを入手
- 別のサービスでログインを試行
- 同じ情報を使っているアカウントに侵入成功
なぜ成功するのか
- 多くの人がパスワードを使い回している
- 正しい組み合わせなので成功率が高い
👉 推測ではなく「再利用」がポイント
どんな場面で使う?
攻撃される場面
- Webサービスのログイン
- ECサイト、SNS、社内システム
防ぐ場面(対策)
- パスワードの使い回し禁止
- 多要素認証(MFA)
- 異常ログイン検知(普段と違うIP・時間)
- パスワード漏えいチェック機能
SG試験での考え方
👉 「推測か、流出か」
- 推測 → ブルートフォース・辞書攻撃
- 流出 → パスワードリスト攻撃
👉 この違いで判断する
よくある誤解・混同
❌ 誤解①:ブルートフォース攻撃と同じ
👉 ⭕ 違う
- ブルートフォース:総当たり
- リスト型:流出情報をそのまま使う
❌ 誤解②:時間がかかる攻撃
👉 ⭕ むしろ高速
- 正しい組み合わせなので試行回数が少ない
❌ 誤解③:複雑なパスワードなら安全
👉 ⭕ 不十分
- 他サイトで漏れていれば意味がない
SG試験のひっかけポイント
- 「パスワードの複雑化だけで防げる」とする選択肢
→ ❌ 不十分
👉 正しくは
- 使い回し禁止+多要素認証
まとめ(試験直前用)
- パスワードリスト攻撃=「流出情報の使い回し攻撃」
- 特徴は
👉 成功率が高い・高速 - 対策は
👉 使い回し禁止+MFA - 試験では
👉 「推測か流出か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
フィッシングとは?だましの手口と見抜き方【情報セキュリティマネジメント】
- Source: pages\sg\phishing.md
- Permalink: /sg/phishing/
まず結論
- フィッシングとは、偽のメールやWebサイトで利用者をだまし、認証情報などを入力させて盗み取る攻撃です。
- SG試験では「だまして入力させる攻撃かどうか」を見抜けるかが問われます。
直感的な説明
銀行から「不正アクセスがありました。今すぐ確認してください」というメールが届き、リンクをクリックすると本物そっくりの画面が出てきてID・パスワードを入力してしまう…。
これがフィッシングです。
👉 「本物に見せかけて入力させる」のがポイントです。
定義・仕組み
フィッシング(phishing)は、実在する企業やサービスを装い、利用者を偽サイトに誘導して情報を盗む攻撃です。
基本の流れは次の通りです。
- 攻撃者が偽のWebサイトを用意
- メールなどでURLを送りつける
- 利用者がリンクをクリック
- 偽サイトでID・パスワードなどを入力
- 情報が攻撃者に送られる
重要なのは
👉 「ユーザー自身に入力させる」点です。
どんな場面で使う?
よく使われる場面
- 銀行・クレジットカードのログイン情報の盗取
- ECサイトのアカウント乗っ取り
- 社内システムの認証情報の奪取
業務でのポイント
- 社員教育(不審メールの見分け)
- URL確認の習慣化
- 多要素認証の導入
👉 人の判断ミスを狙う攻撃なので、教育が重要
よくある誤解・混同
❌ DDoS攻撃との混同
- DDoS:サーバを止める攻撃
- フィッシング:情報をだまし取る攻撃
👉 目的が全く違う(停止 vs 盗取)
❌ マルウェア感染との混同
- マルウェア:プログラムを感染させる
- フィッシング:入力させて盗む
👉 「入力させるかどうか」で見分ける
❌ ボットとの混同
- ボット:遠隔操作するためのプログラム
- フィッシング:だまして情報を取得する手口
👉 ボットは手段、フィッシングは攻撃手法
SG試験でのひっかけ
- 「メールで誘導」+「偽サイト」+「入力させる」
→ この組み合わせならフィッシングと判断
まとめ(試験直前用)
- フィッシング=偽サイトに誘導して入力させる攻撃
- 「ユーザーが自分で入力する」が最大の特徴
- DDoS(停止)・マルウェア(感染)と区別する
- メール+リンク+入力フォーム → フィッシングと判断
🔗 関連記事
- 関連記事は準備中です。
ポートスキャンとは?攻撃と対策の両面から理解する【情報セキュリティマネジメント】
- Source: pages\sg\port-scan.md
- Permalink: /sg/port-scan/
まず結論
- ポートスキャンとは、サーバや機器のポートの状態を調べて、どのサービスが動いているかを確認する行為であり、SG試験では「攻撃にも防御にも使われる点」と「目的の違い」を判断させる問題として出題される。
直感的な説明
ポートは「サーバの入口」です。
イメージとしては、
- どのドア(ポート)が開いているか調べる
- どこから入れそうか探す
という「下見(偵察)」の行為です。
👉 空き巣が家のドアや窓をチェックするのと同じです。
ただし、 👉 管理者も「ちゃんと閉まっているか確認するため」に使います。
定義・仕組み
ポートスキャンは、対象サーバに対して通信を行い、
- 開いているポート(Open)
- 閉じているポート(Closed)
- 応答がないポート(Filtered)
を調べることで、
👉 どのサービス(HTTP、SSHなど)が動いているかを把握します。
なぜ重要か
- 不要なサービスが動いている
→ 攻撃の入口になる
攻撃者の目的
- 侵入できそうなサービスを探す
- 脆弱性のあるポートを特定する
防御側の目的(重要)
- 不要なポートが開いていないか確認
- 設定ミスの検出
- セキュリティチェック(脆弱性診断の一部)
👉 同じ行為でも「目的が違う」ことがポイント
どんな場面で使う?
使う場面
- サーバ構築後の設定確認
- セキュリティ監査・脆弱性診断
- インシデント対応(攻撃の痕跡調査)
SG試験での考え方
- 攻撃者:侵入口を探す
- 管理者:不要な入口を閉じる
👉 目的で判断する
よくある誤解・混同
❌ 誤解①:ポートスキャン=攻撃そのもの
👉 ⭕ 実際は
- 攻撃の「前段階(偵察)」
- 防御でも使う
❌ 誤解②:ログ分析と同じ
👉 ⭕ 全く別
- ポートスキャン:入口の調査
- ログ分析:利用履歴の確認
❌ 誤解③:ID管理やアクセス制御の話
👉 ⭕ 違う
- ポートスキャンは「ネットワークの入口」の話
SG試験のひっかけポイント
- 「ポートスキャン=不正行為」と決めつける選択肢
→ ❌ 不正確
👉 正しくは
- 用途によってはセキュリティ対策として正しい
まとめ(試験直前用)
- ポートスキャン=「開いているポートを調べる行為」
- 攻撃では
👉 侵入口の発見(偵察) - 防御では
👉 不要サービスの確認 - 試験では
👉 「目的が攻撃か対策か」で判断する
🔗 関連記事
- 関連記事は準備中です。
プライバシーセパレータとは?無線LANで端末同士を隔離する仕組み【情報セキュリティマネジメント】
- Source: pages\sg\privacy-separator.md
- Permalink: /sg/privacy-separator/
まず結論
プライバシーセパレータは、同じ無線LANに接続している端末同士の通信を禁止する機能であり、SG試験では「接続そのものは防げない」という点が重要です。
直感的な説明
カフェのWi-Fiをイメージしてください。
- AさんとBさんが同じWi-Fiに接続している
- でも、お互いのスマホやPCにはアクセスできない
👉 これがプライバシーセパレータです。
つまり、
👉 同じネットワーク内でも「隣の人には見えない」状態にする機能
です。
定義・仕組み
プライバシーセパレータとは、
- 無線LANのアクセスポイントが
- 同じネットワークに接続している端末同士の通信を遮断する機能
です。
仕組みとしては、
- 端末Aと端末Bが同じWi-Fiに接続
- 通常なら直接通信できる(同一ネットワーク)
- プライバシーセパレータONの場合
→ 端末A → 端末B の通信を遮断
👉 ただし重要なポイント:
- インターネットへの通信はできる
- アクセスポイントへの接続もできる
つまり、
👉 「横の通信だけ止める」機能
です。
どんな場面で使う?
■ 使うべき場面
- カフェやホテルのフリーWi-Fi
- セミナー会場の来場者Wi-Fi
- ゲスト用ネットワーク
👉 不特定多数が接続する環境
■ 使うと誤解しやすい場面
- 不正接続の防止
- アクセス制御(誰が接続できるか)
👉 これは別の仕組み(認証・PSKなど)が担当します。
よくある誤解・混同
❌ プライバシーセパレータで不正接続を防げる
→ 防げない
👉 接続はできてしまう
❌ URLフィルタと同じ
→ 違う
- プライバシーセパレータ → 端末同士の通信を制限
- URLフィルタ → Webサイトへのアクセス制限
❌ DHCPと関係がある
→ 関係ない
DHCPはIPアドレスの割り当てであり、通信制御ではない
SG試験のひっかけ
SG試験ではこう出ます:
「アクセスポイントへの接続を防止する」
このとき、
- プライバシーセパレータ → ❌(接続は防げない)
- PSK(事前共有鍵) → ⭕(接続を制御する)
👉 接続前か、接続後かで切り分ける
まとめ(試験直前用)
- プライバシーセパレータは「端末同士の通信」を遮断する機能
- アクセスポイントへの接続は防げない
- フリーWi-Fiなどで横の攻撃を防ぐために使う
- SG試験では「接続制御ではない」と判断できればOK
🔗 関連記事
- 関連記事は準備中です。
事前共有鍵(PSK)とは?無線LANの接続制御の基本【情報セキュリティマネジメント】
- Source: pages\sg\psk-wireless-auth.md
- Permalink: /sg/psk-wireless-auth/
まず結論
事前共有鍵(PSK)は、無線LANに接続できる端末を制限するための「共通パスワード」であり、SG試験では「接続そのものを制御する仕組みかどうか」を判断させる問題でよく問われます。
直感的な説明
セミナー会場のWi-Fiをイメージしてください。
- 参加者には「今日のパスワード」を配る
- そのパスワードを知っている人だけ接続できる
これがPSKです。
もしパスワードを毎回変えなければ、 過去の参加者もずっと使えてしまいます。
だから、 「イベントごとに鍵を変える」=不正利用を防ぐ基本対策 になります。
定義・仕組み
事前共有鍵(PSK:Pre-Shared Key)とは、
- 無線LANのアクセスポイントと端末で
- あらかじめ同じ鍵(パスワード)を共有して
- 認証を行う方式
です。
仕組みとしてはシンプルで、
- 端末がWi-Fiに接続しようとする
- 正しい鍵(パスワード)を入力
- 一致すれば接続許可
という流れになります。
SG試験ではここが重要です:
👉 PSKは「接続前の認証」を担当する
つまり、 接続できるかどうかを決める仕組みです。
どんな場面で使う?
使うべき場面
- セミナーやイベントの来場者Wi-Fi
- 小規模オフィスの無線LAN
- 来客用ネットワーク(ゲストWi-Fi)
特に重要なのが、
👉 参加者が毎回変わる環境
この場合は、 PSKを定期的に変更することで不正接続を防ぐ という運用になります。
使うと誤解しやすい場面
- 接続後の通信制御(URL制限など)
- IPアドレスの割当(DHCP)
これらはすべて 接続した後の話です。
よくある誤解・混同
❌ DHCPで制御できる
→ できない
DHCPはIPアドレスを配るだけです。
接続の可否は制御できません。
❌ URLフィルタで防げる
→ 防げない
URLフィルタは
接続後にどのサイトへ行けるかを制御する機能です。
❌ プライバシーセパレータで防げる
→ 防げない
これは
端末同士の通信を防ぐ機能です。
アクセスポイントへの接続自体は止められません。
SG試験のひっかけ
SG試験ではこう問われます:
「接続を防ぐ対策はどれか?」
このとき、
- 接続前 → 認証(PSKなど)
- 接続後 → フィルタ・制限
この切り分けができるかがポイントです。
まとめ(試験直前用)
- PSKは「無線LANに接続できるか」を決める認証方式
- セミナーなどでは「鍵を毎回変更」が基本対策
- DHCPやURLフィルタは「接続後」の制御なので不正解
- SG試験では「接続前か・接続後か」で選択肢を切る
🔗 関連記事
- 関連記事は準備中です。
ランサムウェアとは?身代金要求型攻撃の仕組み【情報セキュリティマネジメント】
- Source: pages\sg\ransomware.md
- Permalink: /sg/ransomware/
まず結論
ランサムウェアとは、データを暗号化して利用できなくし、復旧と引き換えに身代金を要求するマルウェアであり、SG試験では「可用性の侵害」と「金銭要求」を見抜くことが重要です。
直感的な説明
ランサムウェアは「データを人質に取る攻撃」です。
たとえば
- ファイルがすべて開けなくなる
- 「元に戻したければお金を払え」と表示される
といった状態になります。
業務では
- 業務停止
- 顧客対応不能
など、可用性(使える状態)が失われる被害が大きいのが特徴です。
定義・仕組み
ランサムウェアは、感染後にデータを暗号化し、復号と引き換えに金銭を要求します。
基本の流れ
- メール添付や不正サイトから感染
- 端末内のファイルを暗号化
- 「復元したければ支払え」と表示
- 仮想通貨などで支払い要求
特徴
- データの利用不可(可用性の侵害)
- 金銭要求(身代金)
- 組織全体に拡大することもある
近年の傾向(SG試験でも出やすい)
- 二重脅迫(ダブルエクストーション)
- 暗号化+情報を盗んで公開を脅す
👉 可用性+機密性の両方を脅かす
どんな場面で使う?
使うべき場面(試験・実務)
- インシデント対応(感染時の初動判断)
- バックアップ運用の重要性
- 社内教育(不審メール対策)
間違えやすい場面
- 単なるデータ削除と混同
→ ランサムウェアは「復元させる代わりに金銭要求」
よくある誤解・混同
① スパイウェアとの違い
- ❌ 情報を盗む=ランサムウェア
- ⭕ ランサムウェアは「使えなくする+要求する」
② ウイルスとの混同
- ❌ すべて自己増殖する
- ⭕ ランサムウェアは増殖が本質ではない
③ 対応方法の誤解
- ❌ 支払えば必ず復旧する
- ⭕ 復旧保証はなく、支払いは推奨されない
SG試験での典型パターン
- 「ファイルが暗号化される」
- 「業務が停止する」
- 「身代金を要求される」
選択肢で
「情報を収集する」とあれば
→ スパイウェアであり誤り
まとめ(試験直前用)
- ランサムウェア=データを暗号化して身代金要求
- 可用性の侵害が中心
- 二重脅迫で機密性も侵害
- 感染経路はメール・Webなど
- 判断基準は「使えなくする+金銭要求」
🔗 関連記事
- 関連記事は準備中です。
リバースブルートフォース攻撃とは?逆総当たりの仕組みと対策【情報セキュリティマネジメント】
- Source: pages\sg\reverse-brute-force-attack.md
- Permalink: /sg/reverse-brute-force-attack/
まず結論
- リバースブルートフォース攻撃とは、特定のパスワードを固定して複数のIDに対して試す攻撃であり、SG試験では「通常のブルートフォースとの違い」と「アカウントロックを回避する仕組み」を判断させる問題として出題される。
直感的な説明
通常のブルートフォース攻撃は、
👉 1つのIDに対してパスワードを変えて試す
ですが、リバースブルートフォースは逆です。
👉 1つのパスワードで、たくさんのIDを試す
イメージ:
- 「password123」を固定
- 山田、田中、佐藤…とIDを変えて試す
👉 誰か1人でも同じパスワードを使っていれば突破できます。
定義・仕組み
リバースブルートフォース攻撃(逆総当たり攻撃)は、
👉 よく使われるパスワードを1つ選び
👉 多数のアカウントに対して試行する攻撃です。
なぜ有効か
- 多くのユーザが同じようなパスワードを使っている
- 1アカウントへの試行回数が少ない
👉 アカウントロックを回避しやすい
通常のブルートフォースとの違い
| 攻撃 | 特徴 |
|---|---|
| ブルートフォース | 1つのIDに対して総当たり |
| リバースブルートフォース | 1つのパスワードで複数IDを試す |
どんな場面で使う?
攻撃される場面
- 多数のユーザアカウントがあるサービス
- パスワードの使い回しが多い環境
防ぐ場面(対策)
- 多要素認証(MFA)
- パスワードの使い回し禁止
- 異常ログイン検知(IP・挙動分析)
- パスワードポリシーの強化
SG試験での考え方
👉 「なぜロックされないか?」
- 1ユーザあたりの試行回数が少ない
👉 アカウントロックに引っかかりにくい
よくある誤解・混同
❌ 誤解①:ブルートフォースと同じ
👉 ⭕ 逆の考え方
- ID固定か
- パスワード固定か
❌ 誤解②:パスワード漏えい攻撃
👉 ⭕ 違う
- 推測して試す攻撃
(漏えいはリスト型攻撃)
❌ 誤解③:対策はアカウントロックだけ
👉 ⭕ 不十分
- ロックを回避できる攻撃
SG試験のひっかけポイント
- 「アカウントロックで防げる」とする選択肢
→ ❌ 不十分
👉 正しくは
- 多要素認証や異常検知が必要
まとめ(試験直前用)
- リバースブルートフォース=「パスワード固定で複数IDを試す」
- 特徴は
👉 アカウントロックを回避しやすい - 対策は
👉 MFA+使い回し防止+異常検知 - 試験では
👉 「ID固定かパスワード固定か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
ルートキットとは?管理者権限で隠蔽する仕組み【情報セキュリティマネジメント】
- Source: pages\sg\rootkit.md
- Permalink: /sg/rootkit/
まず結論
ルートキットとは、管理者権限(root権限)を取得してシステムを支配し、その存在や不正活動を隠蔽するマルウェアであり、SG試験では「管理者権限を使って隠す」という点を見抜くことが重要です。
直感的な説明
ルートキットは「管理者になりすまして証拠を消す仕組み」です。
たとえば
- 攻撃者が管理者権限を取得する
- ログを削除・改ざんする
- 不正プログラムを見えなくする
というように、“管理者だから何でもできる”状態を悪用して隠すのが特徴です。
👉 普通のユーザー権限ではできない操作ができる点が本質です
定義・仕組み
ルートキットは、管理者権限を利用してシステムの深い部分に介入します。
なぜ「ルート」なのか(重要)
- root=管理者権限(最も強い権限)
- OSの内部まで操作できる
- セキュリティ機能すら無効化できる
👉 この権限を取られると、検知が極めて困難になる
主な機能
- プロセスの隠蔽(動いていても見えない)
- ファイルの隠蔽
- ログの改ざん・削除
- セキュリティソフトの無効化
👉 これらはすべて「管理者権限があるから可能」
攻撃の流れでの位置づけ
- 脆弱性などで侵入
- 権限昇格(管理者権限を取得)
- ルートキットで隠蔽
SG試験では、
「権限昇格のあとに使われる」という流れで理解するのが重要です。
どんな場面で使う?
使うべき場面(試験・実務)
- 不正アクセス後の調査
- 権限昇格が疑われるケース
- ログが不自然に消えている場合
間違えやすい場面
- 初期侵入手段と混同
→ ルートキットは「侵入後+権限取得後」に使われる
よくある誤解・混同
① ルートキットの役割の誤解
- ❌ 攻撃を実行するマルウェア
- ⭕ 管理者権限を使って痕跡を隠すマルウェア
② 権限の重要性の見落とし(最重要)
- ❌ 普通の権限でも同じことができる
- ⭕ 管理者権限があるから隠蔽が可能
👉 SG試験ではここが最重要ポイント
③ ボットとの違い
- ❌ どちらも乗っ取り系
- ⭕ ボット=操作、ルートキット=管理者権限で隠蔽
SG試験での典型パターン
- 「管理者権限を取得している」
- 「ログが消されている/改ざんされている」
- 「不正プログラムが検知されない」
選択肢で
「自己増殖」や「情報収集」と書かれていれば
→ ルートキットではない
まとめ(試験直前用)
- ルートキット=管理者権限で隠蔽するマルウェア
- root権限を使ってシステムを操作
- ログ改ざん・プロセス隠蔽が可能
- 権限昇格のあとに使われる
- 判断基準は「管理者権限で隠しているか」
🔗 関連記事
- 関連記事は準備中です。
サンドボックスとは?安全にプログラムを実行する仕組み【情報セキュリティマネジメント】
- Source: pages\sg\sandbox.md
- Permalink: /sg/sandbox/
まず結論
- サンドボックスとは、プログラムの動作範囲を制限して安全に実行する仕組みです。
- SG試験では「影響範囲を限定する対策かどうか」を判断できるかがポイントです。
直感的な説明
サンドボックスは「砂場」のイメージです。
子どもが砂場の中で遊ぶ分には安全ですが、外に出ると危険がありますよね。
同じように、プログラムを決められた範囲の中だけで動かすことで、
もし悪い動きをしても外に影響が出ないようにします。
定義・仕組み
サンドボックスは、プログラムの実行時に次のような制限をかける仕組みです。
- アクセスできるファイルを制限する
- ネットワーク通信を制限する
- システム全体への影響を遮断する
つまり、
「プログラムは動かすが、できることを最小限にする」
という考え方です。
特に、次のような場面で使われます。
- 不審なファイルの動作確認(マルウェア解析)
- 信頼できないプログラムの実行
- ブラウザの安全な実行環境
どんな場面で使う?
使うべき場面
- 添付ファイルやダウンロードファイルの安全確認
- 未検証のソフトウェアを実行するとき
- セキュリティ検査やマルウェア分析
誤解しやすい場面
- 攻撃を「防ぐ」仕組みと混同しやすい
→ サンドボックスは防御というより被害の限定です
よくある誤解・混同
❌ よくある誤解
- 「怪しい通信を検知して遮断する仕組み」
- 「攻撃を防ぐフィルタのようなもの」
⭕ 正しい理解
- プログラムの行動範囲を制限する仕組み
SG試験でのひっかけ
SG試験では次のように混同させてきます。
- 「攻撃パターンを検知して遮断」
→ WAF(Webアプリケーションファイアウォール) - 「侵入者をおびき寄せて監視」
→ ハニーポット - 「実行環境を制限して影響を防ぐ」
→ サンドボックス(これが正解)
👉 選択肢では
「実行できる機能やアクセスを制限する」と書かれていたらサンドボックスです。
まとめ(試験直前用)
- サンドボックス=安全な範囲内でプログラムを実行する仕組み
- 目的は「攻撃防止」ではなく被害の限定
- 「アクセス制限」「実行制限」がキーワード
- SG試験では
→ WAF・ハニーポットとの違いで出題されやすい
🔗 関連記事
- 関連記事は準備中です。
スクリプトキディとは?初心者攻撃者の特徴と対策【情報セキュリティマネジメント】
- Source: pages\sg\script-kiddie.md
- Permalink: /sg/script-kiddie/
まず結論
スクリプトキディとは、自分で攻撃を作れず、他人が作ったツールを使って攻撃する未熟な攻撃者であり、SG試験では「無差別攻撃や基本対策で防げる相手か」を判断させる問題として出題されます。
直感的な説明
イメージとしては、
- ゲームでいう「チートツールをそのまま使う人」
- 中身は理解していないが、ボタンを押せば攻撃できる
という感じです。
👉 技術力は高くないが、誰でも攻撃できる状態を作る存在なので数が多く、油断できません。
定義・仕組み
スクリプトキディの特徴は以下の通りです。
他人のツールを使う
- 自分でプログラムは作れない
- 公開されている攻撃ツールを使用
技術力は低い
- 仕組みを理解していないことが多い
- 既知の脆弱性をそのまま狙う
無差別攻撃が多い
- 特定の企業を狙うというより
- 「見つかったら攻撃する」スタイル
👉 そのため、古いソフトや未対策のシステムが狙われやすい
どんな場面で使う?
SG試験での典型パターン
パターン①:攻撃のレベル判定
- 高度な標的型攻撃 → スクリプトキディではない
- 単純な脆弱性攻撃 → スクリプトキディの可能性
👉 「高度かどうか」が判断基準
パターン②:対策の選択
- パッチ未適用 → 攻撃される(スクリプトキディでも可能)
- 基本対策あり → 防げる
👉 基本対策で防げるかどうかがポイント
現場での意味
- インターネット公開サーバは常にスキャンされている
- スクリプトキディが自動ツールで攻撃している
👉 「特別に狙われていなくても攻撃される」理由になる
よくある誤解・混同
❌ スクリプトキディ=危険ではない
→ ⭕ 数が多く、被害は普通に起きる
👉 技術力は低くても、放置すれば侵入される
❌ 高度な攻撃=スクリプトキディ
→ ⭕ それはクラッカーや組織的攻撃
👉 スクリプトキディは「単純・既知攻撃」が基本
❌ 対策は特別なものが必要
→ ⭕ 基本対策で防げる
- パッチ適用
- 不要ポート閉鎖
- パスワード管理
👉 SG試験では「基本対策で十分」が正解になりやすい
まとめ(試験直前用)
- スクリプトキディ=ツール頼みの初心者攻撃者
- 技術力は低いが数が多く無差別攻撃をする
- 既知の脆弱性を狙うのが特徴
- 基本的なセキュリティ対策で防げる
- SG試験では「高度攻撃との違い」で判断する
🔗 関連記事
- 関連記事は準備中です。
情報セキュリティ対策をCIAで整理!実務と試験の判断軸【SG試験】
- Source: pages\sg\security-measures-cia.md
- Permalink: /sg/security-measures-cia/
まず結論
情報セキュリティ対策は「機密性・完全性・可用性(CIA)のどれを守るか」で整理できます。
SG試験では「その対策は何を守っているか」で正誤を判断します。
直感的な説明
対策は「攻撃の逆」です。
- 盗まれる → 盗まれないようにする
- 書き換えられる → 書き換えられないようにする
- 止められる → 止まらないようにする
👉 攻撃(CIA)⇔対策(CIA)で対応する
定義・仕組み
機密性(Confidentiality)を守る対策
- アクセス制御(ID・パスワード)
- 認証(多要素認証など)
- 暗号化
👉 見られてはいけない情報を守る
完全性(Integrity)を守る対策
- 改ざん検知(ハッシュ値)
- ログ管理
- デジタル署名
👉 正しさを維持する
可用性(Availability)を守る対策
- 冗長化(サーバの二重化)
- 負荷分散
- バックアップ
👉 止まらないようにする
どんな場面で使う?
SG試験での使い方
問題文で👇
- 「情報漏えいを防ぐ」 → 機密性対策
- 「改ざんを防止」 → 完全性対策
- 「サービス継続」 → 可用性対策
👉 対策の目的で判断
科目Bでの重要ポイント
- 対策は「目的に合っているか」が重要
例:
- DDoS対策なのに暗号化 → ❌
- 改ざん対策なのにバックアップ → ❌(直接ではない)
👉 「守りたいもの」と一致しているかを見る
よくある誤解・混同
❌ セキュリティ対策は全部同じ
→ ⭕ 守る対象(CIA)が違う
❌ 暗号化は万能
→ ⭕ 機密性の対策であり、可用性には効かない
❌ バックアップはすべての対策になる
→ ⭕ 主に可用性の対策
SG試験のひっかけ
- 「暗号化」 → 機密性
- 「ハッシュ」「署名」 → 完全性
- 「冗長化」「バックアップ」 → 可用性
👉 用語→CIAに変換して判断
まとめ(試験直前用)
- 対策はCIAで分類する
- 機密性=アクセス制御・暗号化
- 完全性=改ざん検知・署名
- 可用性=冗長化・バックアップ
- SG試験では「何を守るか」で切る
🔗 関連記事
- 関連記事は準備中です。
セッションハイジャックとは?ログイン乗っ取りの仕組みと対策【情報セキュリティマネジメント】
- Source: pages\sg\session-hijacking.md
- Permalink: /sg/session-hijacking/
まず結論
- セッションハイジャックとは、ユーザのセッション情報(ログイン状態)を盗んで、本人になりすまして不正アクセスする攻撃であり、SG試験では「認証後の対策ができているか」を判断させる問題として出題される。
直感的な説明
ログインすると、
👉「この人は本人です」という状態(セッション)が作られます。
セッションハイジャックは、 👉 この「ログイン済みの状態」を盗む攻撃です。
イメージとしては、
- 本人が入館証を持って入ったあと
- その入館証を盗んで別人が使う
👉 パスワードを知らなくても侵入できるのがポイントです。
定義・仕組み
セッションハイジャックは、次の流れで行われます。
- ユーザがWebサイトにログイン
- サーバがセッションIDを発行
- 攻撃者がそのセッションIDを取得
- そのIDを使って本人になりすます
セッションIDの取得方法(代表例)
- スニッフィング(通信盗聴)
- クロスサイトスクリプティング(XSS)
- マルウェア感染
👉 共通点は
「セッションIDを盗むこと」
どんな場面で使う?
攻撃されやすい場面
- 公衆Wi-Fi利用時
- 暗号化されていない通信(HTTP)
- セッション管理が弱いWebサイト
防ぐ場面(対策)
- HTTPS(通信の暗号化)
- セッションIDの定期変更
- ログイン後の再認証(重要操作時)
- Cookieの適切な設定(Secure属性など)
SG試験での考え方
👉 「認証後も安全か?」がポイント
- 認証(ID・パスワード)だけでは不十分
- セッション管理まで含めて考える
よくある誤解・混同
❌ 誤解①:パスワードを盗む攻撃
👉 ⭕ 違う
- セッションハイジャックは
👉 「ログイン後の状態」を盗む
❌ 誤解②:中間者攻撃と同じ
👉 ⭕ 関係はあるが別物
- 中間者攻撃:通信を盗聴
- セッションハイジャック:セッションを乗っ取る
(中間者攻撃が原因になることはある)
❌ 誤解③:ログインすれば安全
👉 ⭕ SG試験ではここが重要
- ログイン後の管理が不十分だと不正利用される
SG試験のひっかけポイント
- 「認証強化(パスワード)」だけで防げるとする選択肢
→ ❌ 不十分
👉 正しくは
- セッション管理の対策が必要
まとめ(試験直前用)
- セッションハイジャック=「ログイン状態の乗っ取り」
- パスワード不要で侵入できるのが特徴
- 対策は
👉 HTTPS+セッション管理 - 試験では
👉 「認証前か認証後か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
スミッシングとは?SMSを使った詐欺手口【情報セキュリティマネジメント】
- Source: pages\sg\smishing.md
- Permalink: /sg/smishing/
まず結論
- スミッシングとは、SMS(ショートメッセージ)を使って偽サイトへ誘導し、認証情報などを盗み取るフィッシングの一種です。
- SG試験では「SMSで誘導しているか」でフィッシングとの違いを判断させる問題がよく出ます。
直感的な説明
「荷物のお届けに問題があります。こちらから確認してください」
というSMSが届き、リンクをタップすると偽サイトへ…。
スマホだとURLをよく確認せずに押してしまいがちです。
👉 メールではなく“SMSでだます”のがスミッシング
定義・仕組み
スミッシング(smishing)は、SMSを利用して利用者を偽サイトへ誘導し、情報を盗む攻撃です。
(SMS+phishing の造語)
基本の流れはフィッシングと同じです。
- 攻撃者が偽サイトを用意
- SMSでURL付きメッセージを送信
- 利用者がリンクをタップ
- 偽サイトで情報を入力
- 情報が盗まれる
👉 違いは「メールかSMSか」だけ
どんな場面で使う?
よく使われるケース
- 配送業者を装うSMS(不在通知など)
- 銀行・キャリアを装うSMS
- 「緊急」「重要」と焦らせる内容
業務でのポイント
- 社員のスマホも攻撃対象になる
- BYOD(私物端末利用)環境では特に注意
- SMSのリンクは原則クリックしない教育
👉 スマホ利用の増加とともに被害が増えている
よくある誤解・混同
❌ フィッシングとの違い
- フィッシング:メールで誘導
- スミッシング:SMSで誘導
👉 誘導手段で区別する
❌ ビッシングとの混同
- スミッシング:SMS
- ビッシング:電話
👉 SMSか音声かで判断
❌ 正規のSMSとの区別
- 正規:公式サイトに誘導 or URLなし
- 攻撃:不自然なURL・短縮URL
👉 URLの違和感が重要な判断ポイント
SG試験でのひっかけ
-
「SMSでURLを送る」
→ この時点でスミッシングを疑う -
「メール」ならフィッシング
→ 手段で切り分ける
まとめ(試験直前用)
- スミッシング=SMS版フィッシング
- SMS+URL+入力 → 典型パターン
- フィッシング(メール)と手段で区別
- ビッシング(電話)との違いも押さえる
🔗 関連記事
- 関連記事は準備中です。
SMTPのポート番号とは?パケットフィルタリングでの見方を整理【SG試験】
- Source: pages\sg\smtp-port-packet-filtering.md
- Permalink: /sg/smtp-port-packet-filtering/
まず結論
SMTPのポート番号とは、メール送信で使う通信先の番号で、通常は25番を指すものです。
SG試験では、SMTPそのものの暗記だけでなく、パケットフィルタリング型ファイアウォールでどの通信を通すべきかを判断できるかと問われることが多いです。
この種の問題では、SMTPサーバのあて先ポートは25番、PC側の送信元ポートは1024以上、応答では向きが逆になると整理できれば、選択肢を切りやすくなります。
直感的な説明
ポート番号は、ネットワークの世界でいう「部屋番号」のようなものです。
同じサーバでも、どのサービスに話しかけたいかで入口が違います。
たとえば、社内PCからインターネット上のSMTPサーバへメールを送るときは、
「SMTPというメール送信用の入口」に向かって通信します。
その入口が 25番ポート です。
一方で、PC側は毎回同じ番号を使うわけではありません。
PCは通信のたびに空いている番号を一時的に使うので、送信元ポートは1024以上の動的な番号になります。
つまり感覚としては、次のように考えるとわかりやすいです。
- PCはその都度、空いている番号から出発する
- サーバはサービスごとに決まった番号で待っている
- 返事は行きと逆向きに戻る
SG試験ではこの流れを理解しているかを、表や構成図で問われることが多いです。
定義・仕組み
SMTPは、電子メールを送信するためのプロトコルです。
正式には Simple Mail Transfer Protocol といいますが、SG試験では英語の正式名称よりも、メール送信で使うという役割を押さえることが大切です。
パケットフィルタリング型ファイアウォールは、通信を通すか止めるかを、主に次の情報で判断します。
- 送信元IPアドレス
- あて先IPアドレス
- プロトコル
- 送信元ポート番号
- あて先ポート番号
ここで、社内PCからSMTPサーバへメール送信する通信を考えると、基本は次の形になります。
- 送信元:PC
- あて先:SMTPサーバ
- 送信元ポート番号:1024以上
- あて先ポート番号:25
そして、その応答は次のように逆になります。
- 送信元:SMTPサーバ
- あて先:PC
- 送信元ポート番号:25
- あて先ポート番号:1024以上
このため、選択肢では 「SMTPなのに110番になっていないか」、「PC側が25番になっていないか」、「応答の向きが逆になっているか」 を見ると判断しやすくなります。
なお、SG試験ではポート番号そのものを細かく暗記するより、サーバ側は固定の代表的なポート、クライアント側は動的なポートという考え方を押さえておく方が得点につながります。
どんな場面で使う?
SMTPのポート番号の考え方は、主に次のような場面で使います。
ファイアウォール設定を考える場面
社内ネットワークとインターネットの間にファイアウォールを置くとき、必要な通信だけを許可する必要があります。
そのとき、メール送信を許可したいなら、SMTPに対応した通信を正しく通す必要があります。
業務では、
「社内PCから外部のメールサーバへ送信できるようにする」
「不要な通信は遮断する」
という判断につながります。
ネットワーク構成図や通信表を読む場面
SG試験では、図や表を見て、どの通信が妥当かを判断させる問題がよく出ます。
このとき、SMTPの役割とポート番号がわかっていると、通信の正誤を見分けやすくなります。
使うと誤解しやすい場面
ただし、単に「25番を覚える」だけでは不十分です。
選択肢では 送信元ポート番号とあて先ポート番号を入れ替えてひっかける ことがあります。
また、SG試験では SMTP と POP3 を混同させてくることがあります。
メール送信は SMTP、メール受信は POP3 や IMAP という切り分けが大切です。
よくある誤解・混同
SMTPとPOP3の混同
よくあるのが、SMTPは送信、POP3は受信 という区別があいまいになることです。
選択肢では、SMTPの通信なのに110番ポートが書かれていたら注意です。
- SMTP:メール送信、25番
- POP3:メール受信、110番
この区別ができれば、かなり切りやすくなります。
PC側も固定ポートを使うという誤解
初心者が混同しやすいのが、
「SMTPならPC側も25番を使うのではないか」
という考え方です。
しかし実際には、通常の通信ではサーバ側がサービス用の固定ポートで待ち受け、PC側は一時的な動的ポートを使います。
したがって、PCの送信元ポートが25番になっている選択肢は不自然です。
応答でも同じ並びになるという誤解
行きの通信と返りの通信で、送信元とあて先がそのままだと思ってしまうことがあります。
しかし応答では、送信元とあて先が逆 になります。
選択肢ではこの点をずらしてくることがあり、
「SMTPサーバからPCへの応答なのに、あて先ポートが25番になっている」
などの形でひっかけてきます。
SG試験では、こうした表の見方を問われることが多いので、通信の流れで判断する ことが大切です。
まとめ(試験直前用)
SMTPのポート番号は、メール送信で使う25番です。
ただし試験では、番号の丸暗記だけでなく、PC側は1024以上の動的ポートを使うと理解しているかが問われます。
選択肢では SMTPとPOP3の混同、送信元ポートとあて先ポートの入れ替え、応答方向の逆転ミス に注意です。
迷ったら、サーバ側が固定ポート、PC側が動的ポート、応答は逆向き で判断すると切りやすくなります。
🔗 関連記事
- 関連記事は準備中です。
スパイウェアとは?情報を盗むマルウェアの特徴【情報セキュリティマネジメント】
- Source: pages\sg\spyware.md
- Permalink: /sg/spyware/
まず結論
スパイウェアとは、利用者に気づかれずに個人情報や操作情報を収集・外部へ送信するマルウェアであり、SG試験では「情報を盗む目的かどうか」を見抜くことが重要です。
直感的な説明
スパイウェアは「こっそり見張るソフト」です。
たとえば
- 入力したID・パスワードが盗まれる
- 閲覧履歴や操作履歴が送信される
といったように、気づかないうちに情報が抜き取られるのが特徴です。
業務でも
- 個人情報の漏えい
- 認証情報の流出
につながるため、被害が大きくなりやすいです。
定義・仕組み
スパイウェアは、ユーザーの行動や情報を収集し、外部に送信します。
主な収集対象
- ID・パスワード
- クレジットカード情報
- キーボード入力(キーロガー)
- 閲覧履歴・操作履歴
感染経路
- フリーソフトのインストール
- 不正なWebサイト
- メールのリンク・添付ファイル
👉 「便利そうなソフト」に紛れて入ることが多い
特徴
- 表面上は目立たない(潜伏型)
- ユーザーに気づかれにくい
- 情報を外部に送信する
SG試験では、
「破壊ではなく情報収集が目的」という点が重要です。
どんな場面で使う?
使うべき場面(試験・実務)
- 情報漏えいリスクの分析
- 個人情報保護対策の検討
- 不正ログインの原因調査
間違えやすい場面
- ランサムウェアと混同する
→ スパイウェアは「盗む」、ランサムウェアは「身代金要求」
よくある誤解・混同
① ランサムウェアとの違い
- ❌ 情報を盗む=ランサムウェア
- ⭕ スパイウェアは盗む、ランサムウェアは人質にする
② ウイルスとの混同
- ❌ すべてのマルウェアは増殖する
- ⭕ スパイウェアは増殖より情報収集が目的
③ キーロガーとの関係
- ❌ キーロガー=別物
- ⭕ キーロガーはスパイウェアの一種
SG試験での典型パターン
- 「利用者に気づかれずに情報を収集」
- 「認証情報を外部送信」
- 「不正ログインの原因」
選択肢で
「データを暗号化して身代金要求」とあれば
→ ランサムウェアであり誤り
まとめ(試験直前用)
- スパイウェア=情報を盗むマルウェア
- ID・パスワードなどを収集・送信
- 気づかれにくいのが特徴
- キーロガーはその一種
- 判断基準は「目的が情報収集かどうか」
🔗 関連記事
- 関連記事は準備中です。
標的型攻撃とは?狙われる組織の特徴と対策【情報セキュリティマネジメント】
- Source: pages\sg\targeted-attack.md
- Permalink: /sg/targeted-attack/
まず結論
- 標的型攻撃とは、特定の組織や個人を狙って、計画的・継続的に行われる不正アクセス攻撃であり、SG試験では「なぜ防ぎにくいか」と「どの対策が有効か」を判断させる問題として出題される。
直感的な説明
通常の攻撃は「とりあえず誰かに当たればいい」ですが、
標的型攻撃は 👉「この会社・この人を狙う」と決めてから攻撃します。
たとえば、
- 会社の社員を調べる
- 本物っぽいメールを送る
- だまされるのを待つ
というように、相手に合わせて作られる攻撃です。
👉 だから「気づきにくく、防ぎにくい」のが特徴です。
定義・仕組み
標的型攻撃は、次のような流れで行われます。
- 情報収集
- SNSや公開情報から組織・社員の情報を集める
- 侵入手段の準備
- 標的に合わせたメールやサイトを作成
- 侵入(初期感染)
- 添付ファイルやURLを使ってマルウェア感染
- 内部活動
- 権限取得、情報収集、横展開
- 目的達成
- 情報窃取、不正送金など
代表的な関連攻撃
-
水飲み場型攻撃
→ 標的がよくアクセスするサイトを改ざんして感染させる -
APT(Advanced Persistent Threat)
→ 長期間にわたって潜伏しながら攻撃を続ける -
BEC(ビジネスメール詐欺)
→ 経営者や取引先を装って送金を指示する
👉 これらはすべて「標的型攻撃の一種」として整理できます。
どんな場面で使う?
使う場面(対策を考える場面)
- 社員へのセキュリティ教育
- メール対策(添付・URLチェック)
- 権限管理(最小権限)
- ログ監視・早期検知
特に重要な考え方(SG試験)
- 完全に防ぐのは難しい
👉 侵入を前提に被害を抑える設計が必要
(例)
- 多要素認証
- 権限分離
- ログ監視
よくある誤解・混同
❌ 誤解①:特別な技術攻撃だけが標的型攻撃
👉 ⭕ 実際は
- メール
- 人の心理
を使う「だまし」が中心
❌ 誤解②:ウイルス対策ソフトで防げる
👉 ⭕ 標的型は
- 新種の攻撃
- 個別に作られた手口
が多く、検知しにくい
❌ 誤解③:侵入されなければ問題ない
👉 ⭕ SG試験では
- 侵入後の対応(検知・封じ込め)が重要
SG試験のひっかけポイント
- 「防止策だけ」で解決しようとする選択肢
→ ❌ 不十分
👉 正解は
- 教育
- 検知
- 権限制御
を組み合わせた対策
まとめ(試験直前用)
- 標的型攻撃=「特定の相手を狙った攻撃」
- 特徴は
👉 個別最適・長期・気づきにくい - 水飲み場型・APT・BECは仲間
- 対策は
👉 防止+検知+被害抑止の組み合わせ - 選択肢では
👉 「人・運用・技術のどれが不足しているか」で判断する
🔗 関連記事
- 関連記事は準備中です。
不正アクセスの手法とは?攻撃パターンを整理して対策につなげる【情報セキュリティマネジメント】
- Source: pages\sg\unauthorized-access-techniques.md
- Permalink: /sg/unauthorized-access-techniques/
まず結論
- 不正アクセスの手法とは、システムの弱点や人のミスを利用して侵入する具体的な攻撃方法であり、SG試験では「どの手法か」ではなく「どの対策で防ぐべきか」を判断させる問題として出題される。
直感的な説明
不正アクセスの手法は、大きく分けると次の3つです。
- 入口を探す(スキャン・調査)
- 情報を盗む(盗聴・だまし)
- 中に入り込む(侵入・権限取得)
つまり、
👉「どうやって入るか」のパターンを知ることで
👉「どこを守ればいいか」が見えてきます。
定義・仕組み
代表的な不正アクセス手法を整理します。
① 調査・情報収集系
-
ポートスキャン
→ 開いているポート(入口)を探す -
スニッフィング(盗聴)
→ ネットワーク上の通信を盗み見る
② 情報漏えい・解析系
-
テンペスト攻撃
→ 電磁波から画面情報を盗む -
サイドチャネル攻撃
→ 消費電力や処理時間などから情報を推測
③ 認証突破・侵入系
-
ブルートフォース攻撃
→ パスワードを総当たりで試す -
辞書攻撃
→ よく使われるパスワードを試す -
パスワードリスト攻撃(リスト型攻撃)
→ 流出したID・パスワードを使い回す -
フィッシング
→ 偽サイトで認証情報をだまし取る
④ システム脆弱性を突く攻撃
-
SQLインジェクション
→ 入力欄からデータベースを操作 -
クロスサイトスクリプティング(XSS)
→ 悪意あるスクリプトを実行させる -
バッファオーバーフロー
→ メモリの不具合を利用して不正実行
⑤ 内部侵入後の攻撃
-
権限昇格(Privilege Escalation)
→ 一般ユーザから管理者権限へ -
バックドア設置
→ 再侵入できるように裏口を作る
SG試験では、この中の名前を覚えることよりも
👉「どの段階の攻撃か」を理解することが重要です。
どんな場面で使う?
使う場面
- リスクアセスメント(どんな攻撃があり得るか)
- セキュリティ対策の設計
- インシデント対応(どの手口かの特定)
判断のポイント(実務・試験共通)
- 「外から探す攻撃」か?
- 「情報を盗む攻撃」か?
- 「侵入後の行動」か?
👉 この切り分けができると選択肢を削れます。
よくある誤解・混同
❌ 誤解①:技術的な攻撃だけが不正アクセス
👉 ⭕ 実際は
- フィッシング
- パスワード使い回し
など人の弱点を突く攻撃も多い
❌ 誤解②:1つの手法で侵入する
👉 ⭕ 実際は
- スキャン → 情報収集 → 侵入
と複数の手法を組み合わせる
❌ 誤解③:対策は1つで十分
👉 ⭕ SG試験では
- 認証(防止)
- ログ監視(検知)
- 権限制御(被害抑止)
を組み合わせる前提で考える
SG試験のひっかけポイント
- 「パスワード対策」で防げない攻撃を選ばせる問題
(例:テンペストやサイドチャネル)
👉 「どの対策が効くか」で判断する
まとめ(試験直前用)
- 不正アクセス手法=「侵入のための具体的なやり方」
- 攻撃は
👉 調査 → 情報取得 → 侵入 → 権限拡大 の流れ - 手法は
👉 スキャン系/盗聴系/認証突破系/脆弱性攻撃 に分類できる - 試験では
👉 「この攻撃に効く対策は何か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。
不正アクセスとは?攻撃の流れと対策の考え方【情報セキュリティマネジメント】
- Source: pages\sg\unauthorized-access.md
- Permalink: /sg/unauthorized-access/
まず結論
- 不正アクセスとは、許可されていない者が情報システムやデータにアクセスする行為であり、SG試験では「攻撃の流れを理解して、どの段階で防ぐか」を判断させる問題として出題される。
直感的な説明
不正アクセスは「いきなり侵入される」わけではありません。
イメージとしては、
- 下見(どこが弱いか調べる)
- 鍵を見つける(脆弱性やパスワード)
- 中に入る(侵入)
- さらに奥へ進む(権限拡大)
- 証拠を消す
という段階的な行動です。
つまり、 👉「どの段階で止めるか」が対策のポイントになります。
定義・仕組み
不正アクセスは、一般的に次のような手順で行われます(攻撃の流れ):
- 調査(フットプリンティング)
- 公開情報やネットワーク情報を収集
- 例:ポートスキャン、SNS情報の収集
- 脆弱性の発見
- システムの弱点を見つける
- 例:未更新のソフト、弱いパスワード
- 侵入・権限取得
- 不正にログイン、または権限を奪う
- 例:ID・パスワードの不正取得
- 実行(目的の達成)
- 情報の窃取、改ざん、破壊など
- 後処理(痕跡隠し)
- ログ削除、バックドア設置
SG試験では、この流れを理解したうえで
👉「どの対策がどの段階に効くか」を問われます。
どんな場面で使う?
使う場面
- アクセス制御の設計(認証・認可)
- ログ監視・インシデント対応
- 脆弱性対策(パッチ適用)
- 社内教育(パスワード管理)
特に重要な考え方
- 「侵入されない」だけでなく
👉「侵入されても被害を広げない」設計
(例:最小権限、ログ監視)
よくある誤解・混同
❌ 誤解①:不正アクセス=ハッキングだけ
👉 ⭕ 実際は
- パスワード使い回し
- 内部不正
なども含まれる
❌ 誤解②:侵入されたら終わり
👉 ⭕ SG試験ではここが重要
- 侵入後の拡大を防ぐ対策が問われる
(例:アクセス権限の分離)
❌ 誤解③:技術対策だけで防げる
👉 ⭕ 実務では
- 教育(パスワード管理)
- 運用(ログ監視)
も同じくらい重要
SG試験のひっかけポイント
- 「侵入防止」だけの対策を選ばせる問題
→ 検知・対応・被害抑止が抜けていないか確認する
まとめ(試験直前用)
- 不正アクセス=「許可されていないアクセス」
- 攻撃は 調査 → 脆弱性 → 侵入 → 実行 → 隠蔽 の流れ
- 対策は「侵入防止」だけでなく
👉 検知・被害抑止・対応まで含めて考える - 選択肢では
👉「どの段階の対策か」を見極めるのがコツ
🔗 関連記事
- 関連記事は準備中です。
ビッシングとは?電話でだます詐欺手口【情報セキュリティマネジメント】
- Source: pages\sg\vishing.md
- Permalink: /sg/vishing/
まず結論
- ビッシングとは、電話を使って利用者をだまし、認証情報や個人情報を聞き出す攻撃です。
- SG試験では「電話で聞き出しているかどうか」でフィッシング・スミッシングと区別させる問題がよく出ます。
直感的な説明
「銀行の者ですが、不正利用の可能性があります。本人確認のため暗証番号を教えてください」
こうした“それっぽい電話”で情報を聞き出されるのがビッシングです。
👉 リンクではなく“会話でだます”のがポイント
定義・仕組み
ビッシング(vishing)は、電話(音声)を利用して利用者から情報を不正に取得する攻撃です。
(voice+phishing の造語)
基本の流れは次の通りです。
- 攻撃者が電話をかける(または自動音声)
- 公的機関・金融機関などを装う
- 利用者に不安や緊急性を与える
- 暗証番号や認証情報を聞き出す
👉 ユーザーに「口頭で答えさせる」点が特徴
どんな場面で使う?
よくあるケース
- 銀行・カード会社を装った本人確認
- サポートセンターを装った問い合わせ対応
- 「不正アクセス」「料金未納」などの不安をあおる電話
業務でのポイント
- 電話でも情報を教えてはいけない教育が必要
- 折り返し確認(公式番号へ)が重要
- コールセンターを狙った攻撃にも注意
👉 人の心理(焦り・信頼)を利用する攻撃
よくある誤解・混同
❌ フィッシングとの違い
- フィッシング:メール+Webサイト
- ビッシング:電話
👉 通信手段で区別する
❌ スミッシングとの違い
- スミッシング:SMS
- ビッシング:電話
👉 テキストか音声かがポイント
❌ 正規の電話との区別
- 正規:重要情報(暗証番号など)は聞かない
- 攻撃:暗証番号・パスワードを聞く
👉 「電話で認証情報を聞かれたら疑う」が基本
SG試験でのひっかけ
-
「電話で本人確認」「口頭で番号を答えさせる」
→ ビッシングと判断 -
「メール」「SMS」が出てきたら別の攻撃
まとめ(試験直前用)
- ビッシング=電話でだまして情報を聞き出す
- 「口頭で答えさせる」が最大の特徴
- フィッシング(メール)・スミッシング(SMS)と手段で区別
- 電話で暗証番号を聞く時点で不正と判断
🔗 関連記事
- 関連記事は準備中です。
WAFとは?Webアプリを守る仕組みを理解する【情報セキュリティマネジメント】
- Source: pages\sg\waf.md
- Permalink: /sg/waf/
まず結論
- WAFとは、Webアプリケーションへの攻撃を検知・遮断する仕組みです。
- SG試験では「通信内容を見て攻撃をブロックする対策かどうか」を判断できるかがポイントです。
直感的な説明
WAFは「Web専用の門番」です。
普通のファイアウォールが「通していい通信か」を見るのに対して、
WAFはその中身まで見て「危ないリクエストか」を判断します。
たとえば:
- 「変なSQL文が入っている」
- 「怪しいスクリプトが含まれている」
こういったリクエストを見つけて、アプリに届く前に止めるのがWAFです。
定義・仕組み
WAF(Web Application Firewall)は、
Webアプリケーションへの通信内容(HTTPリクエスト)を解析し、
攻撃と判断した場合に遮断する仕組み
です。
主な特徴:
- SQLインジェクション対策
- クロスサイトスクリプティング(XSS)対策
- 不正な入力データの検知
仕組みとしては:
- リクエストの中身をチェック
- ルール(シグネチャ)と照合
- 攻撃と判断したら遮断
👉 ポイントは
「通信内容(中身)を見て判断する」ことです。
どんな場面で使う?
使うべき場面
- Webサービスを公開している場合
- 入力フォームやログイン機能があるシステム
- SQLインジェクションやXSS対策を強化したいとき
誤解しやすい場面
- OSやネットワーク全体の防御と混同しやすい
→ WAFはWebアプリ限定の対策です
よくある誤解・混同
❌ よくある誤解
- 「プログラムの動作範囲を制限する仕組み」
- 「侵入者をおびき寄せる仕組み」
⭕ 正しい理解
- 通信内容を解析して攻撃を遮断する仕組み
SG試験でのひっかけ
SG試験では次のように混同させてきます。
- 「実行範囲を制限する」
→ サンドボックス - 「侵入者を誘導して監視する」
→ ハニーポット - 「通信の中身を見て攻撃を遮断する」
→ WAF(これが正解)
👉 選択肢では
「攻撃と判定した通信を遮断する」と書かれていたらWAFです。
まとめ(試験直前用)
- WAF=Webアプリへの攻撃を検知・遮断する仕組み
- 通信の「中身」を見て判断するのが特徴
- SQLインジェクション・XSS対策に使う
- SG試験では
→ サンドボックス・ハニーポットとの違いで出題されやすい
🔗 関連記事
- 関連記事は準備中です。
WPA2・WPA3・802.1Xとは?無線LAN認証の違いを整理【情報セキュリティマネジメント】
- Source: pages\sg\wifi-auth-wpa2-wpa3-8021x.md
- Permalink: /sg/wifi-auth-wpa2-wpa3-8021x/
まず結論
WPA2・WPA3・802.1Xは無線LANの認証方式であり、SG試験では「共通パスワード型(PSK)か、個人認証型(802.1X)か」を見分けることが重要です。
直感的な説明
Wi-Fiの使い方は大きく2パターンあります。
■ パターン①(PSK)
- 全員同じパスワードで入る
- セミナー会場や家庭用Wi-Fi
👉 鍵を知っていれば誰でも入れる
■ パターン②(802.1X)
- 一人ひとりIDとパスワードでログイン
- 会社のWi-Fi
👉 個人ごとに管理できる
この違いがそのまま試験ポイントです。
定義・仕組み
■ WPA2 / WPA3(PSK方式)
- 事前共有鍵(PSK)を使う方式
- 全員同じパスワードで接続
特徴
- 設定が簡単
- 小規模環境向け
- 鍵が漏れると全員影響
👉 SG試験では
「接続のための共通パスワード」=PSK
■ 802.1X(エンタープライズ方式)
- 認証サーバ(RADIUSなど)を使う
- 利用者ごとに認証
特徴
- 個人単位で管理できる
- 不正利用者だけ止められる
- 大規模・企業向け
👉 SG試験では
「利用者単位で認証する仕組み」
どんな場面で使う?
■ WPA2 / WPA3(PSK)
- セミナー会場
- カフェのWi-Fi
- 家庭用ネットワーク
👉 「一時利用・多数参加者」に向いている
■ 802.1X
- 社内ネットワーク
- 学校・企業Wi-Fi
👉 「利用者を管理したい環境」に向いている
よくある誤解・混同
❌ WPA2 = 安全ではない
→ 誤解
WPA2自体は広く使われている方式で、
問題は「運用(鍵の使い回し)」です。
❌ PSKでも利用者管理できる
→ できない
👉 全員同じ鍵なので、誰が使っているか分からない
❌ 802.1Xは暗号方式
→ 違う
👉 認証の仕組みです(ここ重要)
SG試験のひっかけ
SG試験ではこう出ます:
- 「セミナー会場」 → PSK
- 「利用者ごとに管理」 → 802.1X
👉 環境で判断するのがコツ
まとめ(試験直前用)
- WPA2/WPA3(PSK)は共通パスワードで接続する方式
- 802.1Xは利用者ごとに認証する方式
- セミナーや来客用 → PSK
- 社内ネットワーク → 802.1X
- SG試験では「共通か個別か」で切り分ける
🔗 関連記事
- 関連記事は準備中です。