ITパスポート 令和7年度 問73：securityに関する問題

答えは c です。1つずつ正体を見ると分かります。

・a「修正プログラムが出る前に欠陥を突く」→ ゼロデイ攻撃（直す薬ができる前の“すきま”を狙う）

・b「大量のパケットを一斉送りつけてサービスを止める」→ DDoS攻撃（みんなで一斉に押しかけて入口をパンクさせる）

・c「あり得るパスワードを片っ端から試す」→ ブルートフォース攻撃（総当たりで合言葉を当てる）

👉 覚え方：ゼロデイ＝「直る前を狙う」／DDoS＝「大量で止める」／ブルートフォース＝「総当たり」。

この並びになっているのはcだけです。

なぜこれが正解か

正解は c（a=ゼロデイ攻撃、b=DDoS攻撃、c=ブルートフォース攻撃）。

• a：修正プログラム提供前に脆弱性を突く＝ゼロデイ攻撃。
• b：複数のコンピュータから大量パケットを一斉送信しサービス停止させる＝DDoS攻撃（分散型サービス妨害）。
• c：あり得るパスワードを順次試す＝ブルートフォース攻撃（総当たり）。

各選択肢の解説

• ア/イ：aをDDoSとしている時点で誤り（aは“修正前を突く”＝ゼロデイ）。
• エ：bをブルートフォース、cをDDoSとしており、b・cが入れ替わっていて誤り。

覚え方・ひっかけ注意

キーワードで即判定：「修正前＝ゼロデイ」「大量・一斉・複数台＝DDoS」「順次・総当たり＝ブルートフォース」。DDoSの“分散（多数の端末から）”と、単一からのDoSの違いも押さえる。

理論的背景

本問はWebサービスに対する3種類の攻撃（ゼロデイ攻撃・DDoS攻撃・ブルートフォース攻撃）の名称と説明の正確な対応を問う問題であり、正解はcのa=ゼロデイ攻撃・b=DDoS攻撃・c=ブルートフォース攻撃である。

各攻撃の技術的詳細を整理する。ゼロデイ攻撃（Zero-day Attack）：ソフトウェアの脆弱性が発見されてから、ベンダーが修正パッチを提供するまでの期間（ゼロデイ=パッチが提供された日が0日）に実施される攻撃。脆弱性情報が公開される前に攻撃が行われるため、パッチ適用では防御不能という点が最大の脅威である。ゼロデイ脆弱性は国家レベルのサイバー攻撃グループがダークウェブで高額取引し、APT（Advanced Persistent Threat）攻撃に使用されることが多い。

DDoS攻撃（Distributed Denial of Service）：多数のコンピュータ（ボットネット）から標的に対して大量のトラフィックを集中させ、サービスを停止・低下させる攻撃。単一IPからの攻撃（DoS）と区別され、分散性により防御が困難。SYN Flood・UDP Flood・HTTP Flood・増幅攻撃（DNS/NTP Amplification）など多様な手法がある。

ブルートフォース攻撃（Brute Force Attack）：理論的に考えられる全パターンのパスワードを試す網羅的な攻撃。計算コストは対象のパスワード空間の大きさに依存する。

実務での使われ方

ゼロデイ攻撃への実務的対策は「Defense in Depth（多層防御）」が基本戦略となる。脆弱性管理（VM：Vulnerability Management）ツール（Qualys・Tenable Nessus・Rapid7 InsightVM）によるスキャン・CVSSスコアによる優先度付け・緊急パッチの変更管理プロセスの整備が第一層。仮想パッチ（Virtual Patching）：WAF・IPS（Intrusion Prevention System）のシグネチャ更新で既知攻撃パターンをブロックする緊急対応。エンドポイント保護（EDR：Endpoint Detection & Response）：振る舞い検知によるゼロデイマルウェアの検出。

DDoS対策の実務では、Cloudflare・Akamai・AWS Shield・Google Cloud Armor等のクラウドDDoS防御サービスが標準となっており、数百Gbpsの攻撃トラフィックを吸収できるスクラビングセンターが世界各地に配置されている。大規模なDDoS攻撃（2023年のCloudflareが記録した攻撃は71百万rps超）に対して自前のオンプレミス防御は実質不可能であり、CDN・クラウドプロバイダーへのオフロードが実務標準である。

試験での位置づけ

セキュリティ攻撃の名称と説明の対応はITパスポートのセキュリティ分野で頻出の出題形式であり、本問のような「3つの説明と3つの名称の組合せ選択」問題は特に対応関係の正確な理解を問う。試験でよく混同されるパターンはゼロデイ攻撃と標的型攻撃（APT）、DoS攻撃とDDoS攻撃の違いである。ゼロデイはパッチ未提供の脆弱性を使う攻撃手法であり、DDoSは複数拠点からのサービス妨害という手法の違いを軸に分類する。

情報処理安全確保支援士試験では、各攻撃の技術的詳細・MITRE ATT&CK フレームワーク（攻撃者の戦術・技術・手順のナレッジベース）・脅威インテリジェンスの活用・インシデントレスポンスとの連携まで問われる。CVE（Common Vulnerabilities and Exposures）データベースとCVSS（Common Vulnerability Scoring System）による脆弱性の優先度付けも重要な知識領域である。

選択肢の発展補足

選択肢a・bは「DDoS攻撃」と「ゼロデイ攻撃」が入れ替わった誤答パターンであり、a・bの説明文を正確に読み取れるかが分岐点となる。選択肢dの「a=ゼロデイ攻撃・b=ブルートフォース攻撃・c=DDoS攻撃」はbとcの説明を逆に読んだ場合に選びやすい誤答である。「複数のコンピュータから大量のパケット」という説明がDDoS（分散型サービス拒否）の核心を表しており、「パターンを順次試す」という説明がブルートフォースの「全探索」特性を表している。ゼロデイ攻撃の近年の注目事例としては、Microsoft Exchangeのゼロデイ脆弱性（2021年・Hafnium攻撃）・Log4Shell（Log4j・2021年）・MOVEit Transfer（2023年・Cl0pランサムウェアグループ）などがあり、サプライチェーン攻撃との組み合わせで被害が拡大するトレンドが確認されている。