平成29年度 春期 ITパスポート試験 公開問題 問80 解説 脆弱性対策とパッチ

この問題は「ソフトウェアの欠陥（脆弱性）」が原因の攻撃を特定できるかがポイントです。修正パッチを適用して対策できるのは、プログラムの不具合そのものを突く攻撃に限られるため、選択肢の中でプログラムの設計ミスや欠陥を悪用するバッファオーバフローを選びます。

バッファオーバフローとは、プログラムが確保したメモリ領域（バッファ）以上のデータを入力させることで、予期せぬ動作を引き起こしたり、不正なプログラムを実行させたりする攻撃です。例えば、名前を入力する欄に長すぎるデータを流し込み、メモリ上の管理領域を上書きしてシステムの制御を奪うようなケースが該当します。プログラムの作り（ソースコード）に問題があるため、メーカーが修正用のプログラム（パッチ）を配布し、それを適用して穴を塞ぐことが根本的な解決策となります。

一方で、他の選択肢はパッチ適用だけで防ぐことは困難です。

総当たり攻撃は、パスワードを片っ端から試して突破する手法です。これはログインの仕組みを悪用しているため、アカウントロック機能や二段階認証の導入など、認証の仕組み自体を強化する必要があります。

ソーシャルエンジニアリングは、人の心理的な隙や行動のミスを突く攻撃です。ゴミ箱から書類を盗む、肩越しにパスワードを盗み見る、電話でパスワードを聞き出すといった手法が該当します。これはプログラムの欠陥ではないため、パッチを当てても防ぐことはできません。組織内の教育やセキュリティ意識の向上が不可欠です。

ポートスキャンは、攻撃対象のサーバでどのサービス（ポート）が稼働しているかを調査する偵察行為です。これは攻撃の前段階で行われる情報収集であり、不要なポートを閉じる、ファイアウォールで通信を制限するなどのネットワーク設定による対策が主となります。

これらの知識は、現場で情報セキュリティ担当者が適切な対策を選択する際に不可欠です。何に対してパッチを当て、何に対して運用ルールを設けるべきかを判別できなければ、限られたコストと時間を効果的に使うことができません。試験では、問題の文脈から「システムのバグ」を指しているのか、「人のミス」を指しているのかを見極めることが、セキュリティ分野で得点を伸ばすコツとなります。

IPA 情報セキュリティ白書 IPA ソフトウェア等の脆弱性関連情報に関する届出状況 総務省 国民のための情報セキュリティサイト