基本情報技術者試験のセキュリティ脅威：マルウェア／フィッシング／ゼロデイ攻撃

情報セキュリティに関する脅威は日々進化しています。
特にマルウェア、フィッシング、ゼロデイ攻撃は、基本情報技術者試験でも頻出の重要キーワードです。

マルウェア（Malware）とは？

• 悪意あるソフトウェアの総称（malicious software の略）
• 感染・盗聴・破壊・スパイ活動などを目的とする

主なマルウェアの種類

• ウイルス： 他のプログラムに寄生し、自己増殖
• ワーム： ネットワーク経由で自己増殖、単独で活動
• トロイの木馬： 正常なソフトを装って侵入、内部で悪質な動作
• スパイウェア： ユーザーの情報を無断で収集
• ランサムウェア： ファイルを暗号化し、復旧のために金銭を要求

感染経路の例

• メールの添付ファイル
• 不正なWebサイト
• USBメモリなどの外部デバイス

フィッシング（Phishing）とは？

• 偽のWebサイトやメールを使って、個人情報や認証情報をだまし取る詐欺行為
• 見た目が本物そっくりのサイトを作り、IDやパスワード、クレジットカード情報などを入力させる

よくあるフィッシングの手口

• 銀行やクレジットカード会社を装った偽メール
• 「アカウントが停止された」などと不安をあおる内容
• URLリンク先が本物に似ている（例：www.example.co.jp → www.examp1e.co.jp）

対策例

• 差出人情報やリンク先を慎重に確認
• 公式アプリや公式サイトからアクセス
• セキュリティソフトやフィルタの導入

ゼロデイ攻撃（Zero-Day Attack）とは？

• ソフトウェアやOSの脆弱性が公表される前に、その弱点を突いて行われる攻撃
• 開発者やセキュリティベンダーが対処する「猶予がゼロ」であるため、被害が拡大しやすい

ゼロデイ攻撃のリスク

• 既存のウイルス対策ソフトでは検出できない
• 公表前の脆弱性情報が闇市場で取引されることもある

対策例

• OS・ソフトウェアの常時アップデート
• 未知の脅威にも対応できる多層防御（EDRなど）
• セキュリティパッチの早期適用

基本情報技術者試験での出題ポイント

• マルウェアの種類と特徴の違い
• フィッシング詐欺の手口と具体例
• ゼロデイ攻撃の定義と防御の難しさ
• 被害を防ぐための基本的な対策

学習のコツ

• マルウェアの分類と特徴を表にして整理する
• 実際に送られてくるフィッシングメールの事例を見る
• ゼロデイ＝「パッチがまだ出ていない攻撃」と覚える

まとめ

• マルウェア： 悪意あるソフト全般の総称
• フィッシング： 偽装によって情報をだまし取る詐欺
• ゼロデイ攻撃： 未修正の脆弱性を突く攻撃
• セキュリティ対策は「知ること」が第一歩

基本情報技術者試験では、これらの脅威の違いと対策を正しく理解しているかが問われます。
用語だけでなく、どのような被害を及ぼすのか、どう防げるかまで考えて学習を進めましょう。