情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問5: クリプトジャッキングに該当するものはどれか。

問題本文

クリプトジャッキングに該当するものはどれか。

選択肢

• ア.PC に不正アクセスし，その PC のリソースを利用して，暗号資産のマイニングを行う攻撃
• イ.暗号資産取引所の Web サイトに不正ログインを繰り返し，取引所の暗号資産を盗む攻撃
• ウ.巧妙に細工した電子メールのやり取りによって，企業の担当者をだまし，攻撃者の用意した暗号資産口座に送金させる攻撃
• エ.マルウェア感染した PC に制限を掛けて利用できないようにし，その制限の解除と引換えに暗号資産を要求する攻撃

正解

ア. PC に不正アクセスし，その PC のリソースを利用して，暗号資産のマイニングを行う攻撃

解説

クリプトジャッキングは、他人のPCやサーバに不正侵入したりスクリプトを仕込んだりして、その計算資源を勝手に使い暗号資産のマイニング（採掘）を行う攻撃。よってアが正解。被害者は気付きにくく、CPU高負荷や電気代増大という形で被害が出る。実務ではブラウザ上のマイニングスクリプトや侵入後の常駐型が問題で、リソース異常監視が検知の鍵。

選択肢ごとの解説

• ア.侵入したPCのリソースで無断にマイニングを行う、クリプトジャッキングそのもの。
• イ.不正ログインで暗号資産を直接盗む行為で、資源を使うマイニングとは異なる。
• ウ.送金をだまし取るビジネスメール詐欺（BEC）の説明。
• エ.制限解除と引換えに暗号資産を要求するランサムウェアの説明。