セスペ試験では、業界標準ではない技術名や固有名詞をなるべく使わない。特定の人だけが有利にならないように、という配慮からだ。しかし過去に「G攻撃」という名前で、ある特定の攻撃手法が試験に採り上げられた。G攻撃は、2008年頃に猛威を振るった「Gumblar攻撃」を指す。ここまであからさまに特定のセキュリティ事件を取り上げた問題は他にないはずだ。Gumblar攻撃を事前に知っていた人は、すらすらと問題文を読めたのではないだろうか。

 Gumblar攻撃は、攻撃者がWebサイト管理者などのパソコンをウイルスに感染させ、Webサイトの管理に使うFTPアカウントを盗み、Webサイトの改ざんを行った攻撃だ。JR東日本やホンダ、ローソンなど、有名企業のWebページが次々と改ざんされた。

 では、過去問を見てみよう。この問題は、単にGumblarの仕組みを紹介するだけにとどまっているのではない。その再発防止策が、問題文の中で体系的に整理されている。単に机上で終わらせる学習ではなく、実務に生かしてほしいという試験を実施するIPAからの強いメッセージを感じる。