忍者ブログ
情報処理技術者試験の合格を目指す全受験者のための、1問1問「徹底解説」ブログです。単なる過去問の暗記ではなく、なぜその答えになるのかを本質的に理解できるよう解説します。書籍などでは学べない最新用語やトレンドを踏まえてご紹介します。

【基礎理論】計算機が抱える限界!「丸め誤差」の仕組み|情報処理問題1000本ノック

コンピュータは無限に続く数値を扱うことができません。限られた桁数で数値を表現しようとしたときに発生する「丸め誤差」の性質を攻略しましょう。

1. 問題:数値計算における誤差の種類

【 問題 】 数値計算において、指定された有効桁数やビット数に収めるために、最小桁より下の部分を四捨五入、切り捨て、または切り上げることによって生じる誤差を何と呼ぶでしょうか?

ア、丸め誤差   イ、打切り誤差   ウ、桁落ち   エ、情報落ち

2. 正解:数値計算に関する正解

正解: ア、丸め誤差

3. 解説:入り切らない「端数」の処理

コンピュータのメモリは有限です。そのため、計算結果が非常に長い小数になった場合、どこかの桁で「丸める(端数を処理する)」必要があります。

【図解:丸め誤差が発生するケース】

■ 典型的な例
・1 ÷ 3 = 0.333333... と無限に続く値を、小数第3位で丸めて「0.333」とした場合、本来の値との間に 0.000333... の差が生まれます。これが丸め誤差です。

■ 2進数特有の問題
・人間にとってキリの良い「0.1」のような数値も、コンピュータの内部(2進数)では無限小数になります。このため、単純な加算を繰り返すだけでも丸め誤差が蓄積することがあります。
[ 他の誤差との違いをチェック! ]
打切り誤差:計算を途中で打ち切ることで生じる誤差(例:無限級数の計算を100項で止める)。
桁落ち:値が非常に近い数同士の引き算で、有効桁数が激減すること。
情報落ち:極端に大きい数と小さい数を足したとき、小さい数が無視されること。

1. 理解のコツ: 「丸める(Round)」という言葉の通り、四捨五入などで数値を近似値に置き換えた際に生じる「理想と現実のズレ」のことです。
2. 試験対策の視点: 誤差の定義を問う問題は頻出です。「四捨五入」「切り捨て」「桁数制限」といったキーワードがあれば、丸め誤差を選択しましょう。また、浮動小数点数の構造と関連付けて出題されることもあります。

4. まとめ

「限られた桁数に収めるための端数処理で生じる誤差」。これが丸め誤差です。プログラミングやシステム設計において、わずかな誤差が大きな不具合に繋がる可能性があることを意識しておきましょう。


PR

【情報セキュリティ】逆転の発想で復号する!「フェイステル構造」|情報処理問題1000本ノック

AESのSPN構造と並び、共通鍵暗号の設計における二大構造の一つが「フェイステル構造」です。かつての標準暗号DESにも採用された、この巧妙な仕組みを攻略しましょう。

1. 問題:ブロックを分割する暗号構造

【 問題 】 ブロック暗号の設計において、入力データを左右二つに分割し、一方のデータから生成した値ともう一方のデータのXOR(排他的論理和)をとる処理を、左右入れ替えながら繰り返す構造を何と呼ぶでしょうか?

ア、SPN構造   イ、フェイステル構造   ウ、ストリーム構造   エ、公開鍵構造

2. 正解:暗号アルゴリズムに関する正解

正解: イ、フェイステル構造(Feistel構造)

3. 解説:同じ回路で「暗号化」も「復号」も

フェイステル構造は、計算の過程でデータを左右に分け、片方ずつ加工していくのが特徴です。その最大のメリットは「実装の効率性」にあります。

【図解:フェイステル構造の仕組み】

■ 基本的な動き
1. 入力ブロックを左(L)と右(R)に半分ずつ分ける。
2. 右側(R)とラウンド鍵を関数に入れ、その結果と左側(L)のXORをとる。
3. 新しい左側として「元のR」、新しい右側として「2の結果」を使い、左右を入れ替えて次のラウンドへ。

■ 最大の特徴:可逆性
・この構造は、内部で使われる関数がどんなに複雑(あるいは不可逆)であっても、「逆順に処理するだけで必ず元に戻せる」という数学的性質を持っています。
・そのため、暗号化と復号で全く同じ回路やプログラムを使い回すことができます。
[ 代表的な採用アルゴリズム ]
DES (Data Encryption Standard):世界で最も有名なフェイステル構造の暗号です。
Camellia (カメリア):日本で開発された、非常に強固で高速なフェイステル構造の暗号です。

1. 理解のコツ: データを半分ずつ交互に「鍵をかける」イメージです。全部一度に加工するSPN構造(AES)に対し、半分ずつ慎重に処理していくのがフェイステル

【情報セキュリティ】鉄壁の防御を支える数学!AESの「SPN構造」|情報処理問題1000本ノック

無線LANやWeb通信など、現代のあらゆる場所で使われている共通鍵暗号方式「AES」。その強固な安全性を支える内部アルゴリズムの仕組みを攻略しましょう。

1. 問題:AESのアルゴリズム構造

【 問題 】 共通鍵暗号方式のAESにおいて、データをバイト単位で置き換える「置換(Substitution)」と、位置を入れ替える「変換(Permutation)」、さらにラウンド鍵とのXOR(排他的論理和)演算を繰り返すことで暗号化を行う構造を何と呼ぶでしょうか?

ア、Feistel構造   イ、SPN構造   ウ、ハッシュ構造   エ、公開鍵構造

2. 正解:暗号アルゴリズムに関する正解

正解: イ、SPN構造(Substitution-Permutation Network)

3. 解説:撹乱と拡散のネットワーク

SPN構造は、データを細かくかき混ぜることで、平文と暗号文の統計的な関係を徹底的に隠蔽する設計になっています。

【図解:AES(SPN構造)の4つの処理】

1. SubBytes(置換)
・Sボックスと呼ばれる変換表を使い、バイト単位で値を別の値に置き換えます。

2. ShiftRows(行のシフト)
・データを並べた行列の各行を、一定の規則で不規則に横方向にスライドさせます。

3. MixColumns(列の混同)
・ビット演算(行列演算)を用いて、列内のデータを複雑に混ぜ合わせます。

4. AddRoundKey(鍵加算)
・そのラウンド専用の「ラウンド鍵」とデータの間でXOR(排他的論理和)をとります。
[ Feistel構造との比較 ]
Feistel(フェイステル)構造:データを左右半分に分け、片方を加工してもう片方と混ぜる方式。旧標準のDESなどで採用されていました。
SPN構造:一度にデータ全体を処理するため、少ないラウンド数で高い安全性を確保でき、並列処理もしやすいのが特徴です。

1. 理解のコツ: 料理に例えると、材料を全く別の形に切り(置換)、ボウルの中で激しくかき混ぜ(シフト・混同)、最後にスパイス(鍵)を加える、という工程を何度も繰り返して、元の形が一切分からない「暗号」という料理を完成させるイメージです。
2. 試験対策の視点: 「AES」=「SPN構造」、「DES」=「Feistel構造」という対応関係は頻出です。また、SPN構造の利点として「全ビットを一度に拡散できるため効率が良い」点も押さえておきましょう。

4. まとめ

「置換、シフト、ビット演算、XORの繰り返し」。これがSPN構造です。この数学的に洗練された構造によって、AESは非常に高速かつ解読困難な暗号として世界中で信頼されています。


【情報セキュリティ】組織の壁を守り抜く!「境界型防衛」|情報処理問題1000本ノック

かつての企業ネットワークは、オフィスの「内側」と「外側」を明確に分けることで安全を保ってきました。城壁を作って守るような、この伝統的な防御モデルを攻略しましょう。

1. 問題:境界をベースとした防御モデル

【 問題 】 組織のネットワークを「信頼できる内部領域」と「信頼できない外部領域」に分け、その境界線にファイアウォールなどを設置して外部からの攻撃を防ぐという、従来のセキュリティの考え方を何と呼ぶでしょうか?

ア、境界型防衛(境界防御)   イ、ゼロトラスト   ウ、サンドボックス   エ、デマンドサイドプラットフォーム

2. 正解:ネットワークセキュリティに関する正解

正解: ア、境界型防衛(境界防御)

3. 解説:社内は「善」、社外は「悪」という前提

境界型防衛は、信頼の有無を「場所(ネットワークの位置)」で判断する手法です。社内ネットワークを安全な聖域とみなします。

【図解:境界型防衛のイメージ】

■ 城壁としての対策
・境界線にファイアウォール(FW)や侵入防止システム(IPS)を設置。
・外部からの不正アクセスやウイルスを水際でブロックします。

■ メリット
・守るべき範囲が明確で、運用がシンプル。

■ 課題と限界
・一度内部へ侵入されると、攻撃者が自由に動き回る(ラテラルムーブメント)のを防ぎにくい。
・テレワークやクラウド利用が増え、「内側」と「外側」の区別が難しくなっている。
[ 次世代の考え方 ]
ゼロトラスト (Zero Trust):境界型防衛とは対照的に、「内側も外側も全て信用しない」ことを前提としたモデル。アクセスごとに認証・認可を行い、リソース単位で防御を固めます。

1. 理解のコツ: 「お城の堀と城壁」を想像してください。門(ゲートウェイ)を通った人は身内として安心、外の人は敵として警戒、という非常に分かりやすい構造です。
2. 試験対策の視点: 「信頼できる領域」と「信頼できない領域」という対比があれば、この境界型防衛を指します。最近は「なぜこれだけでは不十分なのか(理由:クラウド化、働き方の変化など)」という文脈で出題されることが多いです。

4. まとめ

「組織の内外を切り分け、その境界で守りを固める」。これが境界型防衛です。近年の高度な攻撃や働き方の多様化により限界も指摘されていますが、依然としてセキュリティの多層防御を構成する重要な要素の一つです。


【情報セキュリティ】鍵の受け渡し問題を解決!「公開鍵暗号方式」|情報処理問題1000本ノック

ネットワークを介して安全にデータを送るためには、暗号化が欠かせません。数ある暗号方式の中でも、一対の異なる鍵を使う「公開鍵暗号方式」の代表格をマスターしましょう。

1. 問題:暗号方式の分類

【 問題 】 次のうち、公開鍵暗号方式に分類されるアルゴリズムはどれでしょうか?

ア、DES   イ、AES   ウ、RC4   エ、RSA

2. 正解:暗号アルゴリズムに関する正解

正解: エ、RSA

3. 解説:ペアの鍵が織りなす高度な仕組み

公開鍵暗号方式は、データの暗号化と復号に「対(ペア)となる異なる鍵」を使用するのが最大の特徴です。

【図解:公開鍵暗号の仕組みとRSA】

■ RSAとは
・開発者3人の頭文字をとった名称です。非常に大きな数の「素因数分解」が困難であることを安全性の根拠にしています。

■ 2つの鍵の役割
公開鍵:誰にでも渡して良い鍵。受信者が送信者に渡し、データの「暗号化」に使われます。
秘密鍵:受信者本人だけが持つ鍵。暗号化されたデータの「復号」に使われます。

■ メリット
・共通鍵暗号のように「鍵をどうやって安全に相手に届けるか」という悩みが解消されます。
[ 選択肢(共通鍵暗号)の整理 ]
DES (Data Encryption Standard):かつての標準。現在は安全性が低下し、推奨されません。
AES (Advanced Encryption Standard):現在の世界標準。非常に高速で強固です。
RC4:かつて無線LAN(WEP)などで使われたストリーム暗号方式です。

1. 理解のコツ: 公開鍵は「開いた状態の南京錠」を配り歩くようなものです。誰でも箱に荷物を入れて鍵をかける(暗号化)ことはできますが、それを開けられるのは鍵(秘密鍵)を持っている自分だけ、と考えるとイメージしやすくなります。
2. 試験対策の視点: 「公開鍵=RSA、楕円曲線暗号」とセットで覚えましょう。また、公開鍵暗号は計算処理が重いため、実際の通信では「共通鍵を安全に送るため」だけに公開鍵を使い、その後のデータ本体は共通鍵で送る「ハイブリッド暗号方式」が一般的です。

4. まとめ

「素因数分解の難しさを利用した、ペアの鍵による暗号方式」。これがRSA(公開鍵暗号方式)です。デジタル署名などにも応用される、セキュリティの最重要トピックであることを押さえておきましょう。


【情報セキュリティ】人の心理を突く罠!「ソーシャルエンジニアリング」|情報処理問題1000本ノック

どれだけ強固なファイアウォールを設置しても、パスワードを口頭で教えてしまえば意味がありません。技術を使わずに情報を盗み出す「ソーシャルエンジニアリング」の代表的な手口を攻略しましょう。

1. 問題:技術的手段を用いない攻撃

【 問題 】 情報セキュリティにおいて、人間の心理的な隙や、ゴミ箱の中の書類、あるいは肩越しに操作を覗き見るといった物理的な手段を用いて、パスワードなどの機密情報を入手する手法の総称はどれでしょうか?

ア、ソーシャルエンジニアリング   イ、ブルートフォース攻撃   ウ、クロスサイトスクリプティング   エ、中間者攻撃

2. 正解:人的セキュリティに関する正解

正解: ア、ソーシャルエンジニアリング

3. 解説:日常に潜む「盗み」の手口

ソーシャルエンジニアリングは、コンピュータの専門知識がなくても実行できてしまう、極めて古典的かつ強力な攻撃です。

【図解:代表的な3つの手法】

■ 1. ショルダーハッキング (Shoulder Surfing)
・ATMやPCの操作、スマホのパスコード入力を、文字通り「肩越しに覗き見る」行為。のぞき見防止フィルタなどの物理的な対策が有効です。

■ 2. なりすまし (Pretexting)
・システム管理者や清掃業者、取引先などを装って電話やメールをし、「トラブル対応のため」などの口実でパスワードを聞き出したり、不正な送金を要求したりする行為。

■ 3. スカベンジング (ゴミ箱あさり / Dumpster Diving)
・シュレッダーにかけていない廃棄書類や、メモ書きなどをゴミ箱から回収して情報を盗む行為。
[ 防御のポイント ]
物理的対策:離席時の画面ロック、シュレッダーの徹底、のぞき見防止フィルタ。
運用的対策:パスワードを電話やメールで絶対に伝えないルール作り。
教育:一人ひとりが「自分が狙われている」という意識を持つこと。

1. 理解のコツ: コンピュータを攻撃するのではなく、「人をだます」のがこの手法の本質です。「エンジニアリング(工学)」という言葉がつきますが、中身は非常にアナログな泥棒の技術に近いものです。
2. 試験対策の視点: 覗き見=ショルダーハッキング、ゴミ箱=スカベンジングというペアを覚えましょう。また、これらはISMS(情報セキュリティマネジメントシステム)の教育分野で頻出のトピックです。

4. まとめ

「人の心理や物理的な隙を突いて情報を盗む」。これがソーシャルエンジニアリングです。システムを鉄壁にするだけでなく、私たち自身の振る舞いやルールが、セキュリティの最後の砦(とりで)になります。



【情報セキュリティ】攻撃の足場を固める!「シェルの安定化」|情報処理問題1000本ノック

攻撃者がシステムに侵入して最初に手にする「シェル」は、Ctrl+Cで接続が切れたり、タブ補完が効かなかったりと非常に不安定です。これを操作しやすく改造する工程を攻略しましょう。

1. 問題:対話型操作への移行

【 問題 】 リバースシェルなどで取得した、機能が制限された不安定なシェルを、通常の端末(ターミナル)のようにタブ補完や履歴参照が可能で、意図しない切断が起きにくい状態に整える作業を何と呼ぶでしょうか?

ア、シェルの安定化(Shell Stabilization)   イ、シェルショック   ウ、サンドボックス化   エ、ポートフォワーディング

2. 正解:ペネトレーションテストの工程に関する正解

正解: ア、シェルの安定化(Shell Stabilization)

3. 解説:不完全なシェルを「本物」に育てる

ネットワーク越しに無理やり奪取したシェル(ノン・インタラクティブ・シェル)は、そのままでは「権限昇格」のための複雑なコマンド入力に耐えられません。そのため、以下の手順で安定化を図ります。

【図解:シェルの安定化で行われること】

■ Python等を利用したTTYの取得
・`python -c 'import pty; pty.spawn("/bin/bash")'` などのコマンドを使い、擬似端末(TTY)を生成して対話可能な状態にします。

■ 端末環境の最適化
・環境変数(TERM=xtermなど)を設定し、エディタ(viなど)が崩れずに動くようにします。

■ ショートカットの有効化
・タブ補完や、Ctrl+C(中断)を押しても通信が切れないように、ローカル側の端末設定と同期させます。
[ なぜ安定化が必要か? ]
ミスの防止:複雑なパスワードやパスを打ち間違えないよう、タブ補完が必要になります。
持続性:せっかく侵入したのに、コマンドを一つ間違えてプロセスが終了し、接続が切れるのを防ぎます。
権限昇格への準備:sudoの実行や対話型パスワード入力を受け付けるには、完全なTTYが必要です。

1. 理解のコツ: 「糸電話のような細い通信(不安定なシェル)」を、「しっかりとした電話回線(安定したシェル)」にアップグレードする作業だと思ってください。攻撃者が次のステップ(権限昇格や横展開)へ進むための必須作業です。
2. 試験対策の視点: 情報処理技術者試験のレベルでは「リバースシェル」の概念までが中心ですが、より実戦的なセキュリティ(登録セキスペの午後問題や実技試験)では、こうした「侵入後の操作性確保」という視点も重要になります。

4. まとめ

「不安定なシェルを対話可能な完全なシェルへ昇格させる」。これがシェルの安定化です。攻撃者が侵入した後に、どれだけ迅速かつ確実に足場を固めようとするかを知ることは、検知と防御を考える上で極めて重要です。



【情報セキュリティ】管理権限を奪い取る!「権限昇格」|情報処理問題1000本ノック

攻撃者は、最初に侵入した一般ユーザーアカウントのままでは、重要なデータの閲覧やシステムの破壊ができません。そこから「管理者(Root/Administrator)」へと権限を格上げする攻撃を攻略しましょう。

1. 問題:ユーザー権限の不正な書き換え

【 問題 】 システムに低権限でログインした攻撃者が、OSやアプリケーションの脆弱性を突くことで、本来は許可されていない「管理者権限」や「より高い実行権限」を取得する行為を何と呼ぶでしょうか?

ア、権限昇格   イ、セッションハイジャック   ウ、ポートスキャン   エ、踏み台攻撃

2. 正解:サイバー攻撃のプロセスに関する正解

正解: ア、権限昇格

3. 解説:攻撃の「横」と「縦」の動き

権限昇格(Privilege Escalation)は、攻撃のステップにおいて極めて重要な段階です。これには「垂直方向」と「水平方向」の2種類があります。

【図解:権限昇格の2つのパターン】

■ 垂直方向の権限昇格(垂直昇格)
・一般ユーザーが「管理者(Admin/Root)」の権限を乗っ取ること。
・目的:システム設定の変更、ログの消去、全データの窃取。

■ 水平方向の権限昇格(水平移動:ラテラルムーブメント)
・自分と同じ権限を持つ「別の一般ユーザー」のアカウントを乗っ取ること。
・目的:別の部署のデータへのアクセスや、さらなる攻撃の足場固め。
[ よくある原因と対策 ]
OSの脆弱性:カーネルのバグなどを突き、一般プロセスの権限を跳ね上げる。
設定不備:パスワードが設定されていない管理ツールや、不用意に高い実行権限が与えられたアプリケーションの悪用。
最小権限の原則:ユーザーには業務に必要な「最小限の権限」のみを与える設計が最大の防御です。

1. 理解のコツ: 「平社員のIDカードで忍び込んだ不審者が、社長室の鍵(マスターキー)を手に入れる」のが垂直昇格、「隣のデスクの人のパソコンを勝手に使う」のが水平移動のイメージです。
2. 試験対策の視点: 攻撃のフェーズ(偵察→侵入→権限昇格→目的達成)の流れの中で出題されます。また、バッファオーバーフロー攻撃などの結果として、この権限昇格が発生することが多いという関連性も押さえておきましょう。

4. まとめ

「低権限から高権限へ不正にアクセス範囲を広げる」。これが権限昇格です。攻撃者がシステム内で自由自在に動けるようになるのを防ぐため、脆弱性への迅速なパッチ適用と、権限管理の徹底が求められます。


【情報セキュリティ】正規ツールが牙をむく!「環境寄生型攻撃(LotL)」|情報処理問題1000本ノック

近年の高度な攻撃では、ウイルス(マルウェア)を送り込むのではなく、OSに最初から備わっている「正規のプログラム」を悪用する手法が増えています。検知が困難な「環境寄生型」の恐怖を攻略しましょう。

1. 問題:正規プログラムを悪用した攻撃

【 問題 】 OSに標準でインストールされている管理ツール(PowerShellやWMIなど)や、正規のシステム機能を悪用して攻撃を行う手法を何と呼ぶでしょうか?

ア、環境寄生型攻撃(LotL攻撃)   イ、ゼロデイ攻撃   ウ、ソーシャルエンジニアリング   エ、辞書攻撃

2. 正解:高度な標的型攻撃に関する正解

正解: ア、環境寄生型攻撃(LotL:Living off the Land)

3. 解説:その場にあるもので「生活」し「攻撃」する

LotL(Living off the Land)は、直訳すると「その土地の物で生きていく」という意味です。独自の不正プログラムを持ち込まず、ターゲットの環境にある「正規ツール」を遠隔操作の道具に変えます。

【図解:LotL攻撃の特徴と巧妙さ】

■ ファイルレス(Fileless)
・ディスクに怪しい実行ファイル(.exeなど)を残さないため、従来のウイルススキャンをすり抜けます。

■ 正規ツールの悪用
Windows PowerShell:スクリプトを実行して情報を盗む。
WMI (Windows Management Instrumentation):システムの管理機能を乗っ取って永続的に潜伏する。

■ 検知の難しさ
・動いているのは「信頼されたOS標準プログラム」であるため、正常な業務操作と見分けがつきません。
[ 防御の最前線 ]
EDR (Endpoint Detection and Response):ファイルの有無ではなく、「不自然な挙動(例:管理者がいない時間にPowerShellが外部通信している)」を監視して検知します。
ログの詳細分析:どの正規ツールが、いつ、どのようなコマンドを実行したかを記録・分析することが不可欠です。

1. 理解のコツ: 「泥棒が自前のバールを持ってくる(マルウェア)」のではなく、「家の中にあるキッチンナイフや工具を勝手に使う(LotL)」イメージです。外部からの持ち込みがないため、検問(セキュリティソフト)にかかりにくいのが特徴です。
2. 試験対策の視点: 「正規プログラムを悪用」「ホワイトリスト形式の防御を突破する」といった記述があればLotL攻撃を指します。最新のセキュリティ動向として非常に注目されている用語です。

4. まとめ

「OS標準の正規ツールを悪用して攻撃を行う」。これが環境寄生型攻撃(LotL)です。これからのセキュリティは、「誰が動いているか」だけでなく「何をしているか」という振る舞いを監視する視点が重要になります。



【情報セキュリティ】隠れたファイルを暴き出す!「強制ブラウズ」|情報処理問題1000本ノック

Webサイトには、トップページからリンクされていない「非公開」のリソースが存在することがあります。それらを直接指定して閲覧しようとする攻撃手法を攻略しましょう。

1. 問題:非公開リソースへの直接アクセス

【 問題 】 Webサーバ上の、本来公開を意図していないファイルやディレクトリに対して、URLを直接入力したり推測したりすることでアクセスを試みる攻撃手法を何と呼ぶでしょうか?

ア、クロスサイトスクリプティング   イ、強制ブラウズ   ウ、セッションハイジャック   エ、ディレクトリトラバーサル

2. 正解:攻撃手法に関する正解

正解: イ、強制ブラウズ

3. 解説:推測と露出が悪用される

強制ブラウズ(Forced Browsing)は、リンクを辿るのではなく、攻撃者が「ありそうなファイル名」を直接ブラウザに入力することで、機密情報や管理画面にアクセスする行為です。

【図解:強制ブラウズの主な原因】

■ ディレクトリ・インデックスの表示
・Webサーバの設定不備により、ファイル一覧が表示され、そこから非公開ファイルへ辿られてしまう。

■ URLの推測
・「/admin/」や「/backup/db.zip」など、他のURLから容易に推測可能な名前が付けられている。

■ 認証の欠如
・「リンクされていない=見つからない」という前提で、重要なファイルにアクセス制限(認証)をかけていない。
[ 防御のポイント ]
適切なアクセス制御:URLを知っていれば誰でも見られる状態を避け、認証・認可を徹底する。
サーバ設定の最適化:ディレクトリ一覧表示(Indexing)を無効にする。
不要なファイルの削除:バックアップファイルや古い設定ファイルをサーバ上に放置しない。

1. 理解のコツ: 「正面玄関(トップページ)を通らず、裏窓や勝手口(直接URL入力)から入ろうとする」行為をイメージしてください。名前が似ている「ディレクトリトラバーサル」は、「../」などを用いて上位階層へ遡る攻撃であり、強制ブラウズとは区別されます。
2. 試験対策の視点: 「公開されていないリソースへアクセスされる」「URLの推測」といった記述があれば強制ブラウズを指します。Webサーバのセキュリティ設定(ApacheやNginxの構成ファイル)に関する問題とも関連が深いです。

4. まとめ

「Webサーバの非公開リソースへ、URL推測等でアクセスする」。これが強制ブラウズです。「隠しているから安全」という考えを捨て、適切なアクセス権限の設定と、サーバ側の露出管理を行うことが防衛の基本です。