令和7年度 ITパスポート試験 公開問題 問70 解説 脆弱性とパッチ適用

この問題の解き方：脆弱性への対策を見抜く

この問題は、脅威の内容が「プログラムの欠陥（脆弱性）」に起因するものか、それとも「運用や人為的なミス」に起因するものかを見分けることで正解を導き出せます。

セキュリティパッチは、ソフトウェアのプログラムコードそのものを修正してバグや脆弱性を塞ぐものです。したがって、プログラム自体に欠陥がある「バッファオーバーフロー」が正解となります。他の選択肢は、プログラムを修正しても防げない、あるいはプログラムのバグとは関係のない攻撃手法です。

バッファオーバーフローとは何か

バッファオーバーフローとは、コンピュータのメモリ領域（バッファ）に、想定以上のデータを書き込むことで、プログラムを誤作動させたり、予期せぬコードを実行させたりする攻撃です。

例えば、10文字までしか入力できないはずの場所に100文字を送り込むと、あふれたデータが隣接するメモリ領域を上書きしてしまいます。これを利用して、攻撃者は自分の都合の良いプログラムを勝手に実行させようとします。この「想定外のデータを受け取ってしまう設計上の欠陥」を修正するのが、メーカーから提供されるセキュリティパッチの役割です。

ほかの選択肢がパッチで防げない理由

今回、不正解となった選択肢は、プログラムを直しても根本解決にはならないものばかりです。

総当たり攻撃やパスワードリスト攻撃は、ログイン画面などで正しいIDやパスワードを推測・悪用する攻撃です。これらはプログラムの欠陥ではなく、正しいIDとパスワードがあれば「システムは正しく動いてしまう」ため、パッチでは防げません。これらには、二要素認証の導入や、パスワードの使い回し禁止といった「運用・管理」での対策が不可欠です。

ソーシャルエンジニアリングは、人間の心理的な隙や行動のミスを突いて情報を盗む手法です。例えば「システム管理者になりすましてパスワードを聞き出す」といった行為であり、これに至ってはソフトウェアの修正とは無縁の「教育と意識向上」が唯一の対策となります。

この知識が現場で求められる理由

ITパスポートでこの問題が出る教育的意図は、脅威の種類に応じた「適切な対策の使い分け」を学ばせる点にあります。

実務の世界では、すべてのセキュリティリスクを一つの方法で防ぐことはできません。 ・プログラムに穴があるなら「修正プログラム（パッチ）を当てる」 ・パスワードを狙われるなら「認証を強化する」 ・人が騙されるなら「セキュリティ教育を行う」

このように、脅威の正体を見極め、技術的対策と管理的対策を組み合わせる思考こそが、情報セキュリティ担当者に求められる最も重要なスキルです。試験対策としては、攻撃手法の名前を見たときに「これはソフトのバグか？ それとも運用ルールの問題か？」と分類する癖をつけると、正答率が大きく安定します。

参考リンク

• ITパスポート試験ドットコム：バッファオーバーフロー
• Qiita：バッファオーバーフローを学ぶ - C言語で学ぶ脆弱性の仕組み
• IPA：情報セキュリティ白書 - セキュリティ対策の考え方