令和7年度 ITパスポート試験 公開問題 問73 解説 攻撃手法の分類

この問題は、各攻撃手法のキーワードを見分けることで、確実に正解を導くことができます。

a：修正プログラム提供前（ゼロデイ） b：大量パケットでサービス妨害（DDoS） c：パスワードを順次試す（ブルートフォース）

この順で選択肢を確認すると、aがゼロデイ攻撃、bがDDoS攻撃、cがブルートフォース攻撃となっている「ウ」が正解となります。

攻撃手法の定義と特徴

情報セキュリティ分野では、攻撃手法ごとに目的や仕組みが明確に分類されています。本問に出てくる3つの攻撃を整理しましょう。

ゼロデイ攻撃 ソフトウェアの脆弱性が発見された際、開発元が修正プログラム（パッチ）を公開する前にその脆弱性を突く攻撃です。修正されるまでの日数がゼロ日であることからこの名前がついています。対策としては、脆弱性情報の収集や、ファイアウォール・WAF（Web Application Firewall）による防御が重要になります。

DDoS攻撃（分散型サービス拒否攻撃） 多数のコンピュータや端末を乗っ取り、一斉に特定のWebサーバーへ大量のアクセスやパケットを送りつける攻撃です。サーバーの処理能力をパンクさせ、正当なユーザーがサービスを利用できない状態にします。単一の攻撃元ではなく、世界中に点在する端末から攻撃が行われるため、防御が難しいのが特徴です。

ブルートフォース攻撃（総当たり攻撃） 設定可能なパスワードのパターンをすべて順次試していく攻撃です。例えば、4桁の数字なら0000から9999まで全て試せばいつかは必ず正解にたどり着くという、非常に単純かつ強力な手法です。対策には、パスワードを長く複雑にすること、ログイン試行回数に制限を設けることなどが有効です。

試験対策としての意義

ITパスポート試験では、これらの攻撃手法を知識として暗記するだけでなく、それぞれの性質を理解しておくことが重要です。実務においても、これらはWebサービスを守る立場の人にとって最も基本的な脅威であり、システムのセキュリティ設計を行う際の基礎知識となります。

例えば、ゼロデイ攻撃に対しては迅速なパッチ適用の運用を考え、DDoS攻撃に対しては冗長化やトラフィック監視を検討し、ブルートフォース攻撃に対しては二要素認証の導入を推奨するなど、攻撃の特徴を知ることで具体的な防御策が見えてくるようになります。

参考リンク

• 情報セキュリティの基礎知識（IPA）
• サイバー攻撃の種類と対策を解説（Qiita記事）
• ゼロデイ攻撃やDDoS攻撃の概念を学ぶ講義動画（YouTube）