[解説:技術系]応用・基本・セキマネ・ITパス向け
エクスプロイトキットの説明はどれか。
ア JPEG データを読み込んで表示する機能をもつ製品に対して,セキュリティ上
の問題を発生させる可能性のある値を含んだ JPEG データを読み込ませるこ
とによって,脆弱性がないかをテストするツール
イ JVN などに掲載された脆弱性情報の中に,利用者自身が PC 又はサーバに
インストールした製品に関する情報が含まれているかどうかを確認するツール
ウ OS やアプリケーションソフトウェアの脆弱性を悪用して攻撃するツール
エ Web サイトのアクセスログから,Web サイトの脆弱性を悪用した攻撃を
検出するツール
■キーワード■
■解答■
応用情報技術者午前令和01年秋問42
ウ OS やアプリケーションソフトウェアの脆弱性を悪用して攻撃するツール
> エクスプロイトキット(Exploit Kit)
> エクスプロイトキットとは、複数のエクスプロイトコード(エクスプロイト)を
> パッケージ化して、様々な脆弱性攻撃に対応できるようにしたプログラムのこと
> である。エクスプロイトコードは、セキュリティ上の脆弱性を攻撃するための
> プログラムを指す用語である。従来のエクスプロイトに対して、新しく発見
> された脆弱性への攻撃プログラムなどが随時追加されていくことで、さまざまな
> 場面に対して攻撃を仕掛けることが可能となっている。
> https://www.sophia-it.com/content/%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%97%E3%83%AD%E3%82%A4%E3%83%88%E3%82%AD%E3%83%83%E3%83%88
どうもありがとうございます。
> エクスプロイトキットとは、サイバー攻撃者がパソコンやモバイルデバイスの
> 脆弱性を利用する際に用いるクラッキングツール。
> https://eset-info.canon-its.jp/malware_info/term/detail/00129.html
> 上記より、解答はウです。
> 参考
> https://e-words.jp/w/%E3%82%A8%E3%82%AF%E3%82%B9%E3%83%97%E3%83%AD%E3%82%A4%E3%83%88%E3%82%AD%E3%83%83%E3%83%88.html
どうもありがとうございます。
> https://www.ap-siken.com/kakomon/01_aki/q42.html
どうもありがとうございます。
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
[解説:セキュリティ系]
パスワードスプレー攻撃に該当するものはどれか。
ア 攻撃対象とする利用者 ID を一つ定め,辞書及び人名リストに掲載されて
いる単語及び人名並びにそれらの組合せを順にパスワードとして入力して,
ログインを試行する。
イ 攻撃対象とする利用者 ID を一つ定め,パスワードを総当たりして,ログイン
を試行する。
ウ 攻撃の時刻と攻撃元 IP アドレスとを変え,かつ,アカウントロックを回避
しながらよく用いられるパスワードを複数の利用者 ID に同時に試し,ログイン
を試行する。
エ 不正に取得したある他のサイトの利用者 ID とパスワードとの組みの一覧表
を用いて,ログインを試行する。
■キーワード■ パスワードスプレー攻撃
■解答■
情報処理安全確保支援士午前2令和04年秋問6
ウ 攻撃の時刻と攻撃元 IP アドレスとを変え,かつ,アカウントロックを回避
しながらよく用いられるパスワードを複数の利用者 ID に同時に試し,ログイ
ンを試行する。
> 昨日と同じ問題です。
すいませんでした。
> パスワードスプレー攻撃(Password spray attack)
> 同じパスワードを複数のユーザーアカウントログインで同時に試すことです。
> ログインの際に一定の回数パスワードを間違えると、アカウントロックが
> かかる場合がありますよね?パスワードスプレー攻撃の場合、
> ロックがかかっても解除されるまで他のアカウントでログインを試せば
> いいため、あまり意味がありません。また一度に複数のユーザーへログインが
> 試せるので、犯人にとっては効率がいい方法です。
> https://office110.jp/security/knowledge/cyber-attack/password-spray
どうもありがとうございます。
> パスワードスプレー攻撃とはIDやパスワードを組み合わせて連続的に
> 攻撃するブルートフォース攻撃の一種です。
> https://cybersecurity-jp.com/column/30629#i
> 上記より、解答はウです。
> 参考
> https://www.sc-siken.com/kakomon/04_aki/am2_6.html
どうもありがとうございます。
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
[解説:入門]ITパス向け
システム監査における "監査手続" として,最も適切なものはどれか。
ア 監査計画の立案や監査業務の進捗管理を行うための手順
イ 監査結果を受けて,監査報告書に監査人の結論や指摘事項を記述する手順
ウ 監査項目について,十分かつ適切な証拠を入手するための手順
エ 監査テーマに合わせて,監査チームを編成する手順
■キーワード■
■解答■
応用情報技術者午前令和04年秋問59
ウ 監査項目について,十分かつ適切な証拠を入手するための手順
> IV.システム監査実施に係る基準
>
> 【基準8】 監査証拠の入手と評価
> <解釈指針>
> 1.システム監査において、システム監査人は、個別監査計画に基づいて、
> 監査手続を実施することによって、監査証拠を入手する。
> 2.監査手続は、監査対象の実態を把握するための予備調査(事前調査とも
> いう。)、及び予備調査で得た情報を踏まえて、十分かつ適切な監査証拠
> を入手するための本調査に分けて実施される。
> https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf
どうもありがとうございます。
> 監査手続とは、監査人が監査意見を形成するに足る基礎を得るための
> 監査証拠を入手するために実施する手続をいい、実施する目的により、
> リスク評価手続とリスク対応手続(運用評価手続又は実証手続)に
> 分けられる。
> https://www2.deloitte.com/jp/ja/pages/audit/articles/aa/glossary/au-017.html
> 上記より、解答はウです。
> 参考
> https://www2.deloitte.com/jp/ja/pages/risk/articles/rm/substantive-test.html
どうもありがとうございます。
> https://www.ap-siken.com/kakomon/04_aki/q59.html
どうもありがとうございます。
