sg sg-security-overview threat_vulnerability unauthorized_access
まず結論
- 攻撃の事前調査とは、攻撃者が侵入や不正アクセスを行う前に、対象の情報・公開サービス・脆弱性を調べる活動です。
- SG試験では、偵察、スキャン、脆弱性探索を「攻撃前の準備段階」として切り分けられるかが重要です。
攻撃は、いきなり侵入から始まるとは限りません。
多くの場合、攻撃者はまず対象を調べ、どこから侵入できそうかを探します。
選択肢では、「対象組織の情報を集める」「開いているポートを調べる」「脆弱性を探す」と書かれていたら、攻撃の事前調査に関係する説明として考えます。
直感的な説明
攻撃の事前調査は、泥棒が建物に入る前に下見をするようなものです。
たとえば、次のような確認をします。
- 建物の情報を調べる
- 出入口を確認する
- 鍵が壊れている場所を探す
- 人の出入りや警備の弱い時間を探る
サイバー攻撃でも考え方は似ています。
| 下見の例 | サイバー攻撃での例 |
|---|---|
| 建物の情報を集める | 企業名、公開サーバ、メールアドレスを調べる |
| 出入口を探す | 開いているポートを調べる |
| 壊れた鍵を探す | 古いソフトや脆弱性を探す |
つまり、攻撃の事前調査は、攻撃を成功させるための情報集めです。
定義・仕組み
攻撃の事前調査は、攻撃対象を理解し、侵入しやすい場所を探すための準備活動です。
代表的には、次の流れで整理できます。
| 段階 | 内容 | 目的 |
|---|---|---|
| 偵察 | 公開情報や対象情報を集める | 攻撃対象を知る |
| スキャン | 開いているポートや稼働サービスを調べる | 入口を探す |
| 脆弱性探索 | サービスやソフトの弱点を調べる | 侵入に使える弱点を探す |
MITRE ATT&CKでは、Reconnaissance(偵察)は、攻撃者が将来の作戦に使える情報を能動的または受動的に集める技術として整理されています。
MITRE ATT&CK Reconnaissance
また、IPAの「情報セキュリティ10大脅威」でも、システムの脆弱性を突いた攻撃が組織向け脅威として継続的に取り上げられています。
IPA 情報セキュリティ10大脅威
SG試験では、攻撃手法の細かい名前よりも、攻撃前に何を調べているのかを見分けることが大切です。
どんな場面で使う?
攻撃者は、次のような場面で事前調査を行います。
- 標的型攻撃の前に、組織や社員の情報を集める
- 公開サーバのポートを調べ、稼働サービスを把握する
- VPN機器、Webサーバ、管理画面などの脆弱性を探す
- 古いソフトウェアや未適用パッチを狙う
- フィッシングメールを送る相手や文面を考える
一方、防御側は、攻撃の事前調査を前提に、次のような対策を行います。
- 不要なポートやサービスを停止する
- ファイアウォールで外部公開範囲を制限する
- 脆弱性情報を確認し、修正パッチを適用する
- 外部に公開している情報を見直す
- ログやIDS/IPSで不審なスキャンを検知する
SG試験では、攻撃者の行動だけでなく、防御側が何をすべきかも問われることがあります。
よくある誤解・混同
偵察・スキャン・脆弱性探索の違い
3つは似ていますが、見る対象が違います。
| 用語 | 見る対象 | 判断基準 |
|---|---|---|
| 偵察 | 組織・人・公開情報 | まず情報を集めている |
| スキャン | ポート・サービス | 通信できる入口を探している |
| 脆弱性探索 | ソフトや設定の弱点 | 使える弱点を探している |
選択肢では、「会社情報や社員情報を集める」なら偵察、「開いているポートを調べる」ならスキャン、「既知の弱点を探す」なら脆弱性探索です。
ポートスキャンとの違い
ポートスキャンは、攻撃の事前調査の一部として使われることがあります。
ただし、ポートスキャン自体は管理目的でも使われます。
| 観点 | 管理目的 | 攻撃目的 |
|---|---|---|
| 実施者 | 管理者・委託先 | 攻撃者 |
| 対象 | 許可された範囲 | 無断で選んだ対象 |
| 目的 | 不要なサービスの確認 | 侵入口の探索 |
SG試験では、ポートスキャン=必ず攻撃と決めつけないことが大切です。
目的と権限を見て判断します。
侵入後の活動との違い
攻撃の事前調査は、基本的には侵入前の準備です。
一方、侵入後には、権限昇格、内部探索、情報窃取、マルウェア実行などが行われることがあります。
| 段階 | 例 |
|---|---|
| 侵入前 | 偵察、スキャン、脆弱性探索 |
| 侵入後 | 権限昇格、内部移動、情報窃取 |
選択肢で、すでに内部に入った後の操作が書かれている場合は、事前調査ではなく侵入後の活動として考えます。
脆弱性診断との違い
防御側が許可された範囲で弱点を確認する場合は、脆弱性診断です。
攻撃者が無断で弱点を探す場合は、攻撃の事前調査になります。
同じように「弱点を探す」行為でも、誰が、何の目的で、どの範囲に対して行うかで意味が変わります。
まとめ(試験直前用)
- 攻撃の事前調査は、侵入前に対象情報や弱点を集める活動です。
- 流れは、偵察 → スキャン → 脆弱性探索で整理します。
- 偵察は情報収集、スキャンは入口探し、脆弱性探索は弱点探しです。
- ポートスキャンは、管理目的でも攻撃目的でも使われます。
- 判断基準は、侵入前か、何を調べているか、権限と目的が正当かです。
🔗 関連記事
- AESとは?共通鍵暗号方式として押さえる基本【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- ブラックリストとホワイトリストの違いとは?判断基準を整理【SG試験】
- ブロック暗号とストリーム暗号の違いとは?暗号方式を整理【SG試験】