不正アクセスの手法とは？攻撃パターンを整理して対策につなげる【情報セキュリティマネジメント】

まず結論

不正アクセスの手法とは、システムの弱点や人のミスを利用して侵入する具体的な攻撃方法であり、SG試験では「どの手法か」ではなく「どの対策で防ぐべきか」を判断させる問題として出題される。

直感的な説明

不正アクセスの手法は、大きく分けると次の3つです。

入口を探す（スキャン・調査）
情報を盗む（盗聴・だまし）
中に入り込む（侵入・権限取得）

つまり、 👉「どうやって入るか」のパターンを知ることで
👉「どこを守ればいいか」が見えてきます。

定義・仕組み

代表的な不正アクセス手法を整理します。

① 調査・情報収集系

ポートスキャン
→ 開いているポート（入口）を探す
スニッフィング（盗聴）
→ ネットワーク上の通信を盗み見る

② 情報漏えい・解析系

テンペスト攻撃
→ 電磁波から画面情報を盗む
サイドチャネル攻撃
→ 消費電力や処理時間などから情報を推測

③ 認証突破・侵入系

ブルートフォース攻撃
→ パスワードを総当たりで試す
辞書攻撃
→ よく使われるパスワードを試す
パスワードリスト攻撃（リスト型攻撃）
→ 流出したID・パスワードを使い回す
フィッシング
→ 偽サイトで認証情報をだまし取る

④ システム脆弱性を突く攻撃

SQLインジェクション
→ 入力欄からデータベースを操作
クロスサイトスクリプティング（XSS）
→ 悪意あるスクリプトを実行させる
バッファオーバーフロー
→ メモリの不具合を利用して不正実行

⑤ 内部侵入後の攻撃

権限昇格（Privilege Escalation）
→ 一般ユーザから管理者権限へ
バックドア設置
→ 再侵入できるように裏口を作る

SG試験では、この中の名前を覚えることよりも
👉「どの段階の攻撃か」を理解することが重要です。

どんな場面で使う？

使う場面

リスクアセスメント（どんな攻撃があり得るか）
セキュリティ対策の設計
インシデント対応（どの手口かの特定）

判断のポイント（実務・試験共通）

「外から探す攻撃」か？
「情報を盗む攻撃」か？
「侵入後の行動」か？

👉 この切り分けができると選択肢を削れます。

よくある誤解・混同

❌ 誤解①：技術的な攻撃だけが不正アクセス

👉 ⭕ 実際は

フィッシング
パスワード使い回し
など人の弱点を突く攻撃も多い

❌ 誤解②：1つの手法で侵入する

👉 ⭕ 実際は

スキャン → 情報収集 → 侵入
と複数の手法を組み合わせる

❌ 誤解③：対策は1つで十分

👉 ⭕ SG試験では

認証（防止）
ログ監視（検知）
権限制御（被害抑止）
を組み合わせる前提で考える

SG試験のひっかけポイント

「パスワード対策」で防げない攻撃を選ばせる問題
（例：テンペストやサイドチャネル）

👉 「どの対策が効くか」で判断する

確認問題（SG試験対策）

次のうち、不正アクセス手口の切り分けとして最も適切なものはどれか。

A. パスワードリスト攻撃は、漏えいしたID・パスワードの組合せを悪用する。 B. SQLインジェクションは、DNSキャッシュに偽情報を登録する攻撃である。 C. セッションハイジャックは、端末へIPアドレスを自動配布する仕組みである。 D. ディレクトリトラバーサルは、メール本文を暗号化する仕組みである。

▶ クリックして答えと解説を見る（ここを開く）

正解：A

解説

A：漏えい済み認証情報の使い回しを狙います。
B：SQLインジェクションはデータベースへの不正命令混入です。
C：セッションハイジャックはログイン状態の乗っ取りです。
D：ディレクトリトラバーサルはファイルパス操作の攻撃です。

👉 判断ポイント手口名は「何を悪用するか」で切る。認証情報、SQL、セッション、パスを混同しない。

まとめ（試験直前用）

不正アクセス手法＝「侵入のための具体的なやり方」
攻撃は
👉 調査 → 情報取得 → 侵入 → 権限拡大の流れ
手法は
👉 スキャン系／盗聴系／認証突破系／脆弱性攻撃に分類できる
試験では
👉 「この攻撃に効く対策は何か」で切り分ける

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る