ソーシャル エンジニアリング攻撃は、技術的な脆弱性を悪用するのではなく、人間の心理を操作することに依存するサイバー攻撃の一種です。ソーシャル エンジニアリング攻撃には、悪意のあるリンクをクリックしたり、機密情報を漏洩したり、制限されたリソースへのアクセスを許可したりするなど、攻撃者に利益をもたらす行為をユーザーを騙したり、説得したり、強制したりすることが含まれる場合があります。難読化されたリンクとは、本当の宛先や目的を隠すために偽装または変更されたリンクです。難読化されたリンクは、ユーザーをだまして悪意のある Web サイトにアクセスさせたり、マルウェアをダウンロードさせたりするために攻撃者によってよく使用されます。この場合、インシデント対応アナリストは、会社の管理者のみを対象とした複数の電子メールがネットワークを通過していることに気づきました。このメールには、別の国の未知の Web サイトに誘導する隠された URL が含まれています。これは、アナリストが難読化されたリンクを使用したソーシャル エンジニアリング攻撃を目撃していることを示しています。

正解は A. バックドアを埋め込んだ。
バックドアは、権限のないユーザーが所有者の許可や知識なしにシステムやネットワークにアクセスできるようにする方法です。バックドアは、ソフトウェアの脆弱性を悪用したり、マルウェアを使用したり、デバイスのハードウェアやファームウェアを物理的に変更したりすることによってインストールされる可能性があります。バックドアは、データの窃盗、マルウェアのインストール、コマンドの実行、システムの制御など、さまざまな悪意のある目的に使用される可能性があります。
この場合、コンサルタントは、シャットダウン ボタンの画像と「終了」という警告メッセージを表示する HTML および PHP コード スニペットを使用して、Web サイトにバックドアを埋め込みました。ただし、このコードはサーバーのリモート アドレスもエコーします。これは、訪問者の IP アドレスを攻撃者に送信することを意味します。このようにして、攻撃者は Web サイトの訪問者を特定してターゲットにし、その IP アドレスを使用してさらなる攻撃を開始したり、そのデバイスにアクセスしたりすることができます。
このコード スニペットは、クリックジャッキング攻撃の一例です。クリックジャッキング攻撃は、ユーザーをだまして Web ページ上の非表示または偽装された要素をクリックさせるインターフェース ベースの攻撃の一種です。ただし、クリックジャッキングはコンサルタントの主な目的ではなく、バックドアを埋め込む手段です。したがって、選択肢 C は誤りです。
オプション B も不正解です。特権昇格は、攻撃者がシステムまたはネットワーク上で想定されている以上の権限を取得できるようにする攻撃手法です。権限昇格は、ソフトウェアの脆弱性を悪用したり、マルウェアを使用したり、構成ミスや弱いアクセス制御を悪用したりすることで実現できます。ただし、コンサルタントが Web サイトで権限昇格を実装したり、昇格された権限を取得したりしたという証拠はありません。
パッチ適用は、エラーの修正、パフォーマンスの向上、またはセキュリティの強化を目的としてソフトウェアに更新を適用するプロセスであるため、選択肢 D も不正解です。パッチを適用すると、エクスプロイト、マルウェア感染、サービス拒否攻撃など、さまざまなタイプの攻撃を防止または軽減できます。ただし、コンサルタントが Web サーバーにパッチを適用したり、何らかの方法でセキュリティを改善したりした形跡はありません。
参考文献:
1 バックドアとは何か & バックドア攻撃を防ぐ方法 (2023)
2 クリックジャッキングとは何ですか? チュートリアルと例 | Webセキュリティアカデミー
3 権限昇格とは何か、またそれが Web セキュリティとどのように関連するか | アキュネティックス
4 パッチ適用とは何ですか? | パッチ管理のベスト プラクティス - cWatch ブログ

tcpdump は、特定のインターフェイスまたはファイルからネットワーク パケットをキャプチャして分析できるコマンド ライン ツールです。
-n オプションを使用すると、tcpdump によるホスト名解決が防止され、分析が高速化されます。-r オプションは、ファイル (この場合は packets.pcap) からパケットを読み取ります。ホスト [IP アドレス] フィルターは、tcpdump が送信元または宛先として指定された IP アドレスを持つパケットのみを表示するように指定します。このコマンドは、セキュリティ アナリストがゲートウェイからパケット キャプチャを収集することで、不審な IP アドレスへの接続を検出するのに役立ちます。公式参考文献:
https://partners.comptia.org/docs/default-source/resources/comptia-cysa-cs0-002-exam-objectives
https://www.techtarget.com/searchsecurity/quiz/Sample-CompTIA-CySA-test-questions-with-answers
https://www.reddit.com/r/CompTIA/comments/tmxx84/passed_cysa_heres_my_ experience_and_how_i_st

説明
サイトの標準 VPN ログオン ページが www.acme.com/logon であるのに、https://offce365password.acme.co に解決されるホスト IP へのアウトバウンド トラフィックの最も可能性の高い説明は、ソーシャル エンジニアリング攻撃が進行中であるということです。ソーシャル エンジニアリング攻撃は、人間の心理や行動を悪用して人々を操作し、攻撃者に有利な行動をとったり、情報を漏洩させたりする手法です。一般的なタイプのソーシャル エンジニアリング攻撃はフィッシングです。これには、会社や同僚などの正当な送信元から送信されたように見える詐欺メールやその他のメッセージが送信され、受信者が悪意のあるリンクや添付ファイルをクリックしたり、メッセージを入力したりするよう誘導されます。偽の Web サイト上の認証情報やその他の機密情報。この場合、攻撃者は、会社のドメイン名に似ているがタイプミス (office365 ではなく offce365) のあるドメイン名を登録し、会社の VPN ログオン ページを模倣した偽の Web サイトをセットアップした可能性があります。攻撃者は、同社の従業員にフィッシングメールを送信し、パスワードをリセットするか、悪意のあるリンクを使用して VPN アカウントにログインするよう要求した可能性もあります。セキュリティ アナリストはフィッシング メールの送信元と内容を調査し、従業員に対し、疑わしいリンクをクリックしたり、信頼できない Web サイトで資格情報を入力したりしないよう警告する必要があります。公式参考文献:
https://partners.comptia.org/docs/default-source/resources/comptia-cysa-cs0-002-exam-objectives
https://www.comptia.org/certifications/cybersecurity-analyst
https://www.comptia.org/blog/the-new-comptia-cybersecurity-analyst-your-questions-answered

EDR は Endpoint Detection and Response の略で、エンドポイントでの悪意のあるアクティビティを監視し、自動または手動の対応機能を提供する防御層です。EDR は、動作分析と脅威インテリジェンスに基づいて攻撃を検出し、対応できるため、デバイスのオペレーティング システムに関係なく、外部の脅威から保護できます。EDR は、CompTIA CySA+ の試験目標で取り上げられるツールの 1 つでもあります。公式参考文献:
https://www.comptia.org/certifications/cybersecurity-analyst
https://www.comptia.org/blog/the-new-comptia-cybersecurity-analyst-your-questions-answered
https://resources.infosecinstitute.com/certification/cysa-plus-ia-levels/