情報セキュリティマネジメント試験 サイバー攻撃・マルウェア完全解説
サイバー攻撃・マルウェアは情報セキュリティマネジメント試験(SG)で毎回多く出題される最重要テーマです。 攻撃の種類は多様ですが、「どんな攻撃か」「どこを狙うか」「対策は何か」を セットで整理することが合格への近道です。このページでは攻撃手法を体系的に分類して解説します。
1. マルウェアの種類と特徴
マルウェア(Malware)とは、悪意のあるソフトウェアの総称です。 種類によって動作・感染経路・目的が異なるため、特徴を正確に覚えることが重要です。
| 名称 | 主な特徴 | 感染・拡散方法 |
|---|---|---|
| コンピュータウイルス | 正規ファイルに寄生して動作。宿主ファイルなしには単独で存在できない | 感染ファイルの実行・共有 |
| ワーム | 自己増殖機能を持ち、他のホストに自律的に拡散。宿主ファイル不要 | ネットワーク経由で自動拡散 |
| トロイの木馬 | 有用なソフトを装って侵入。バックドアの設置や情報窃取を行う | ダウンロード・メール添付 |
| ランサムウェア | ファイルを暗号化して使用不能にし、復号と引き換えに身代金を要求 | メール・脆弱性悪用・RDP |
| ボット | 攻撃者の指令(C&Cサーバ)を受けて動作。DDoS攻撃やスパム送信に悪用 | 脆弱性悪用・フィッシング |
| ルートキット | 管理者権限を取得した後、マルウェアの存在を隠蔽するためのツール群 | 他のマルウェアと組み合わせ |
| スパイウェア | 利用者の行動・入力情報を密かに収集して外部に送信 | バンドルソフト・フリーウェア |
2. Web系の攻撃手法
SQLインジェクション
Webアプリケーションの入力フォームに悪意ある SQL 文を挿入し、データベースを不正操作する攻撃です。 個人情報の盗取・データ改ざん・認証回避などが発生します。 対策:プレースホルダ(バインド機構)の使用。入力値を SQL の構造から切り離すことで注入を防ぎます。
クロスサイトスクリプティング(XSS)
攻撃者が悪意あるスクリプトをWebページに埋め込み、閲覧者のブラウザ上でスクリプトを実行させる攻撃です。 Cookieの盗取・セッションハイジャック・フィッシングページへの誘導などに悪用されます。 対策:出力時のエスケープ処理・CSP(コンテンツセキュリティポリシー)の設定。
クロスサイトリクエストフォージェリ(CSRF)
ログイン中のユーザーに、意図しないリクエストを正規サイトへ送信させる攻撃です。 例えば、銀行サイトにログイン中のユーザーが悪意あるページを閲覧すると、知らぬ間に振込処理が実行されます。 対策:CSRFトークンの検証・SameSite Cookie属性の設定。
ドライブバイダウンロード
悪意あるWebサイトを閲覧するだけで、ユーザーの操作なしにマルウェアがダウンロード・実行される攻撃です。 ブラウザやプラグインの脆弱性を悪用します。 対策:ブラウザ・プラグインを最新版に保つ・信頼できないサイトにアクセスしない。
| 攻撃 | 狙い | 主な対策 |
|---|---|---|
| SQLインジェクション | データベースの不正操作 | プレースホルダの使用 |
| XSS | スクリプト実行・Cookie盗取 | エスケープ処理・CSP |
| CSRF | 意図しないリクエスト送信 | CSRFトークン・SameSite属性 |
| ドライブバイダウンロード | マルウェア感染 | ブラウザ・プラグインの更新 |
3. フィッシング・ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、技術的な手段ではなく人の心理や行動を悪用して情報を盗む手法の総称です。
| 手法 | 説明 |
|---|---|
| フィッシング(Phishing) | 金融機関や有名サービスを装った偽のメール・サイトでID・パスワードを入力させる |
| スピアフィッシング | 特定の個人・組織を狙って実名や役職を使ったカスタマイズされた標的型フィッシング |
| ビッシング(Vishing) | 音声通話(Voice)を使ったフィッシング。電話で金融機関や当局を装う |
| SMiShing | SMS(テキストメッセージ)を使ったフィッシング。宅配業者などを装うことが多い |
ソーシャルエンジニアリングの主な手口
- ショルダーハッキング(肩越し盗み見):背後から画面やキーボード入力を盗み見る
- トラッシング(スカベンジング):ゴミ箱に捨てられた書類・媒体から情報を入手する
- なりすまし電話:システム管理者や取引先を装ってパスワードを聞き出す
- ベイティング:USBメモリなどを意図的に置き忘れ、拾った人が接続することで感染させる
- プリテキスティング:架空のシナリオ(口実)を作り上げ、情報を引き出す
4. サービス妨害・ネットワーク攻撃
DoS攻撃・DDoS攻撃
DoS(Denial of Service)攻撃は、1台の端末から大量のリクエストを送りつけ、 サーバを過負荷状態にしてサービスを停止させる攻撃です。 DDoS(Distributed DoS)攻撃は、ボットネット(多数の感染端末)を踏み台にして 分散的に大量トラフィックを発生させる攻撃で、防御がより困難です。 対策:CDNやDDoS対策サービス・トラフィック制限・WAF。
DNSキャッシュポイズニング
DNSキャッシュサーバに偽の名前解決情報を注入することで、正規ドメインへのアクセスを 攻撃者のサーバに誘導する攻撃です。利用者が正しいURLを入力しても偽サイトに誘導されます。 対策:DNSSEC(DNS Security Extensions)の導入。
中間者攻撃(MitM:Man-in-the-Middle)
通信する二者の間に攻撃者が割り込み、通信内容の盗聴・改ざんを行う攻撃です。 公衆Wi-Fiなど暗号化されていない通信路で発生しやすいです。 対策:通信の暗号化(TLS/HTTPS)・デジタル証明書による認証。
5. 高度な攻撃手法
標的型攻撃(APT)
APT(Advanced Persistent Threat)とも呼ばれる、特定の組織・個人を長期にわたり執拗に攻撃する手法です。 スピアフィッシングや水飲み場型攻撃で侵入後、長期潜伏しながら情報を収集します。 政府機関・防衛・重要インフラを狙うケースが多いです。
ゼロデイ攻撃
ソフトウェアの脆弱性がベンダーに発見される前(修正パッチが存在しない「ゼロデイ」の状態)に その脆弱性を悪用する攻撃です。有効なパッチが存在しないため防御が困難です。 対策:多層防御・振る舞い検知・ソフトウェアの早期アップデート。
ウォータリングホール攻撃(水飲み場型攻撃)
標的となる組織の従業員が頻繁に訪問するWebサイトを事前に改ざんし、 訪問者のPCにマルウェアを感染させる攻撃です。 信頼できるサイトを踏み台にするため発見が困難です。
サプライチェーン攻撃
セキュリティが強固な組織を直接攻撃するのではなく、そのサプライヤー(部品・ソフトウェア・サービスの供給業者)を 攻撃して侵入経路を確保する手法です。ソフトウェアのアップデートに悪意あるコードを混入させるケースが有名です(例:SolarWinds事件)。 対策:サプライヤーのセキュリティ評価・ソフトウェアの完全性検証。
6. 不正のトライアングル
内部不正が発生する条件を説明する有名なモデルが不正のトライアングルです。 内部不正は以下の3要素が揃ったときに起こりやすいとされます。
- 動機:不正を起こす動機・プレッシャー(借金・不満・利益追求など)
- 機会:不正が実行できる環境・状況(アクセス権限・監視の不備など)
- 正当化:自分の行為を正当化する心理(「少しくらいなら」「会社が悪い」など)
3つのうち1つでも取り除ければ不正のリスクを低減できます。 特にIT的な対策としては「機会」を減らすことが有効で、アクセス制御・職務分離・監査ログなどが対策になります。
7. 例題で確認
よくある質問(FAQ)
Q. ウイルスとワームの違いは何ですか?
A. 最大の違いは「宿主ファイルが必要かどうか」です。ウイルスは正規ファイルに寄生して動作するため、単体では存在できません。ワームは独立したプログラムとして動作し、ネットワークを通じて自律的に拡散します。
Q. XSSとCSRFの違いが分かりません。
A. XSSは「攻撃者が被害者のブラウザ上でスクリプトを実行させる」攻撃です(対策:エスケープ処理)。CSRFは「ログイン中の被害者に意図しないリクエストを送信させる」攻撃です(対策:CSRFトークン)。「誰がどこで何をするか」を整理して覚えましょう。
Q. 攻撃手法が多すぎて覚えられません。
A. まず「マルウェア系」「Web攻撃系」「フィッシング系」「ネットワーク攻撃系」「高度な攻撃」の5カテゴリに分類して理解しましょう。各攻撃名・特徴・対策をセットで繰り返し練習することで自然に定着します。