セキュリティの仕事をしている私がフィッシングメールに引っかかった話
1. はじめに
セキュリティ関係の仕事をしている私が恥ずかしながら、年始早々にフィッシングメールに引っかかってしまいました。
「セキュリティ専門の自分でもこうなるのか。。。」という恥ずかしさがありましたが、この体験が少しでも多くの人への警鐘になればと考え、あえて書き残すこととしました
2. どういうメールだったか
※この記事で紹介するURLや件名等は実際のものではなく、説明のための架空のものであることをご了承ください。
ある日、普段利用している銀行のサービスからメールが届きました。件名は「重要なお知らせ:ご確認ください」といった内容で、たまにある定期的な通知のように見えました。
メール本文には、以下のようなURLが記載されていました(実際のURLは伏せ、仮のものに置き換えています)。
hxxps[:]//www.mybank-service.co.jp/notify/account/verification
見た目は正規のURLです。ドメインもmybank-service.co.jpで、普段使っているサービスのものでした。
メール本文はざっくり、「貯まっているポイントがあるので移行してください」という内容でした。
3. なぜ引っかかってしまったか
今振り返ると、いくつかの要因が重なってURLをクリックしてしまいました。
1. 使い慣れたサービスであり、メール送信元を見逃していた
まず、このサービスは日常的に使っているもので通常の受信ボックスに届いていたこともあり、「あ、なんかポイントが貯まってるんだな」という軽い気持ちでメールを開いてしましました。
そしてメールの送信元を見ることなく、なぜかメール本文のURLにだけ注意を向けたのでした。(結局リンクを踏んでしまったわけですが。。。)
2. メール本文のURLが正規のものだった
メール本文に表示されているURLを見る限り正規のドメインでした。
hxxps[:]//www.mybank-service.co.jp/notify/account/verification
HTMLメールではリンクテキストと実際のリンク先が異なることがあるのは把握していましたが、あまり深く考えず「クリップボードにコピーしてURL確認してみるか」くらいの気持ちでいました。
3. コピーして確認しても同じように見えた
念のため、リンクを右クリックして「リンクのアドレスをコピー」し、テキストエディタに貼り付けて確認しました。
そこに表示されたのは下記のようなURLでした。
hxxps[:]//www.mybank-service.co.jp∕notify∕[ランダムな文字列]@malicious-site.com/
メール本文に表示されていたURLとは異なるものでしたが、URLの最初のドメイン部分"www.mybank-service.co.jp"に目が行ってしまい、その後に続く不自然な長い文字列や@記号、そして最後のmalicious-site.comを見落としてしまいました。
4. @を含むURLの仕組みを理解していなかった
これが最も恥ずかしい部分であり、かつ学びになった部分ですが、URLにおいて@記号の前が認証情報、後が実際のアクセス先になるという仕様を把握できていませんでした。
hxxps[:]//ユーザー情報@実際のアクセス先/
- @の前:www.mybank-service.co.jp∕notify∕... は認証情報として扱われる(そして実際には無視される)
- @の後:malicious-site.com が実際のアクセス先
アットマークを含むURLでは上記のような構成になります。このURLにアクセスするとwww.mybank-service.co.jpではなく、malicious-site.comにアクセスさせられるということになります。
この@記号を含むURLの形式は、Basic認証で使用される認証のための仕組みのようです。ブラウザは@の前の部分を認証情報として解釈し、@の後ろのホスト名に対してHTTPリクエストを送信する際に、Authorizationヘッダーに変換して送信します。
hxxps[:]//ユーザー名:パスワード@ホスト名/パス
※加えてこのURLでは、通常のスラッシュ/ではなく、Unicode文字の∕(division slash)もURL内で使われていました。
上記要因でメール内のURLをクリックしてしまうこととなりました。セキュリティの仕事をしていながら、この仕組みを把握しておらず、リンクをクリックしてしまったのは本当に恥ずかしい限りです。。。
4. 引っかかってしまった後の対処
サイトにアクセスすると、変なサイトであることにすぐに気づいたので即座にページを閉じました。
認証情報等の機微な情報は入力していませんでしたが、メールのリンクからアクセスしたことで私がリンクを踏んだことは攻撃者側にはバレていると予想できます。(先ほどの@記号の前のランダムな文字列からトラッキングされている可能性があるため)
そのため、即座に以下対応を行いました。
・認証情報の変更(アカウント・パスワードの両方)
・多要素認証が有効になっていることの確認
・不審なログインや取引の履歴がないか確認
・受信メールを迷惑メールとして報告
なお当時は、フィッシングページにアクセスするとブラウザ警告が出ることなくアクセスできていましたが、本記事執筆時点ではブラウザ警告が表示されるようになっていました。
5. 終わりに
大変恥ずかしながら、セキュリティの仕事をしている私がフィッシングに引っかかったというお話でした。
今回の経験から学んだことは、「自分は大丈夫」という過信が最大の脆弱性、ということでした。
さらに、URLの仕組みに関する知識が欠けていたことも今回引っかかった要因でもあります。今回使われたURLの仕組みは今後決して忘れることはないでしょう。
今回の体験が、一人でも多くの方の被害防止につながれば幸いです。
独学2ヶ月半でCISSPに合格した話

無事ICS2のセキュリティ資格「CISSP」に合格したので受験体験記を残そうと思います。先達の方々の合格体験記が大変参考になったこともあり、自分も少しでも何か役に立つ情報を残せれば、という動機で書いています。
勉強期間と時間
2024年12月中旬から勉強(情報収集含む)を開始し、2025年2月上旬に受験だったので、2ヶ月半くらいの勉強期間でした。平日は約2時間、土日祝は4~6時間くらいの勉強時間を確保していました。幸いにも正月は休日が続いてたので、休み返上でペースを上げて学習に取り組むことができました。おおまかには以下のようなペース配分です。
▼2024年12月中旬〜2025年1月上旬
・問題集1~8章公式ガイドブックの章末問題1~8章の1周目完了
▼1月上旬〜1月中旬
・問題集1~8章と公式ガイドブックの章末問題1~8章の2周目完了
▼1月中旬〜1月下旬
・問題集/公式ガイド章末問題で1,2周目どちらも間違えた問題だけ
3周目実施
・問題集の模擬試験1~4の1周目と2周目を完了
▼1月下旬〜2月上旬(試験日まで)
・問題集の模擬試験で1,2周目どちらも間違えた問題だけ3周目実施
・公式ドメインガイドブックの練習問題
・CISSP公式アプリで練習問題

勉強方法
学習の進め方は主に下記記事を大いに参考にさせていただきました。
また、以下の勉強ノートは公式ガイドブック以上に参考にさせていただきました。
私の場合、アクセス可能な教材はフル活用する、というスタンスで学習を進めていました。以下は利用した教材です。(◎:よく使った、◯:そこそこ使った、△:少し使った)
| 公式問題集 | ◎ |
| 公式ガイドブック | ◯ |
| 公式アプリ(無料版) | △ |
| 公式ドメインガイド練習問題 | △ |
| YoutubeのCISSP動画 | △ |
| 自作の単語暗記ブック | ◎ |
| ChatGPT | ◎ |
先達の方々が受験記で書かれているように、学習の柱は公式問題集をひたすら繰り返す、というものでした。解いていく中で分からない用語や問題があれば、都度調べて知識を深掘りしていきました。問題集がなければCISSP学習が始まらないといってもいいくらいでしょう。
問題集を繰り返す以外に、個人的に工夫した部分としては以下が挙げられます。
- 公式ガイドブックの章末問題
- 公式ドメインガイド練習問題
- 生成AIのフル活用
公式ガイドブックの章末問題
鈍器とも見える極厚の公式ガイドブックは「辞書的」に使う点で多少役に立ちましたが、それ以上に章末問題の練習が知識の深掘りをする観点で役立ったと思います。
章末問題は1~8章で合計200問あり、基本的にはテキストに沿った内容で出題されています。公式問題集と違う角度から出題される問題もあったので、問題集で積み上げた知識の土台をさらに補強できるという点で、ガイドブックの章末問題は役立ちました。
公式ドメインガイドページの練習問題
公式が公開している「CISSP 8ドメインガイドブック」のページには練習問題なるものが掲載されています。現行のガイドブックには10問が掲載されています。さらに過去のガイドブックと思われる資料もweb archiveに残っており、こちらは40問あります。
これらの問題は新たに知識を得るというよりも、学習期間終盤で知識が定着しているかを確認するために活用しました。現行の10問は解答と解説が掲載されているので素直に答え合わせができますが、旧版のガイドブックにある40問は解答も解説もないです。そのため、後述する生成AIをフル活用しながら、知識の補強やCISSPの考え方の理解に役立てました。
生成AIのフル活用
こいつがいるか否かで学習効率は大きく変わっていたことでしょう。。笑
ChatGPT(たまにGemini)は以下の点で多大なサポートをしてくれました。
・用語の意味、似た用語の違いの解説
・公式問題集やガイドブック章末問題で解説が足りない時や納得がいかない時の追加解説
・旧ドメインガイドブック練習問題の解説
・YoutubeのCISSP解説動画(英語)をWordのディクテーション機能で文字起こしをして、日本語で要約してもらう
正直、生成AIも正解率100%ではないので、出力そのものを鵜呑みにしないよう注意が必要です。しかし7~8割は正解している感覚なので、納得・理解できずに消化できないよりは、おおよそ正解っぽい考え方を教えてもらって「なるほど、そういう考え方ね」と消化できた方がベターかなと思いました。

受験当日
試験時間や問題数は新旧の情報が錯綜しているように思いますが、最新のCISSP試験は3時間のCAT形式です(問題の後戻りは不可)。問題数は100~150問となります。
(実は私の場合、過去の試験情報ばかり見ていたため、試験の1ヶ月前まで試験は6時間200問あると思い込んでいました。。)
試験時間が3時間になったためか、早朝に到着する必要は無くなり、12時半からの枠で受けることができました。試験1時間前にタリーズでゆっくり復習していたら、芸能人がふつうにコーヒー飲んでてびっくりw これは何か良いことあるかもな、と思えましたね。
試験に関しては、よく言われているように練習問題とかなり違います。単純に単語や答えを暗記するだけでは太刀打ちできず、CISSP的考え方を適用しながら問題を解く必要があると感じました。
そして試験を終えて結果発表の紙が渡される瞬間、正直本当に落ちたと思いました。試験会場で感情を出すのが恥ずかしかったので、ちゃんと会場を出てから結果を確認してしっかり外で喜びました!
個人的に思う「試験時の心構え」と「CISSP的考え方」
自分が学習・情報収集をしてきた中で、試験時の心構えとCISSP的考え方は以下のように集約されました。
試験を受ける時の心得
1. 問題文と選択肢をしっかり読むこと。悩ましくても、よく読めば解ける問題もある。
2. 二択で迷う場合は、より適合している方を選ぶこと。 CISSP的考え方、問題の意図、選択肢の違いを基に判断する。
3. 不正解の選択がなぜ間違いなのかを考える。何がどうなっていたら正解なのかを考えれば正しい解答を絞れる。
4. 前の問題に戻れないので、ミスったとしても引きずらない。
CISSP的考え方
1. 経営者目線を持つリスクアドバイザーとして考える。
2. 人命最優先。そのためには物理セキュリティが第一。
3. 対策費用が資産価値や予想被害額を上回らないこと。
4. 全ての判断はリスク管理から。リスク管理は資産評価から。
まとめ
年度末までにCISSPを取得する目標が達成できて満足しています。学習した内容も、実務に大変役立つ内容だったので改めて受験を決意してよかったなと思っています。会社の先輩でCISSPホルダーの方にも勉強方法などアドバイスをいただき感謝感謝です。
冒頭にも書いたように、過去受験してきた人たちの受験記が大変参考になりました。最新のCISSPでは受験方式がアップデートされていたりするので、最新の情報を提供できればと思い、この記事を残したいと思いました。参考になりましたら幸いです。
参考記事
受験記ブログ
- エンジニア経験ゼロの文系ギャルが「CISSP®認定試験」を受ける - ラック・セキュリティごった煮ブログ
- CISSP試験に合格しました|ヒガシ
- CISSPの試験に合格するまで | きょうのかんぱぱ
- 独学?CISSP合格記(受験回数は2回)|yuki8
- -セキュリティ- CISSP(2)勉強のための本、ビデオ、問題集、サイト、資料 - Maxima で綴る数学の旅
- CISSP勉強方法メモ #情報セキュリティ - Qiita
- CISSP合格までに利用したリソースと使い方について #Security - Qiita
- CISSP受験後に知った、受験前に知っておきたかったこと - Monoblogue of a security engineer
Youtube
(CISSP勉強用) ドメイン2 - データ管理の役割
- データオーナー (Data Owner)
- システムオーナー (システム管理責任者 / System Owner)
- データ管理者 (Data Custodian)
- 管理者 (Administrator)
- その他の役割
※参考文献は以下です。
- CISSP 勉強ノート | 晴耕雨読
- CISSP問題集 (Amazon)
- ChatGTP先輩
データオーナー (Data Owner)
システムオーナー (システム管理責任者 / System Owner)
データ管理者 (Data Custodian)
管理者 (Administrator)
その他の役割
(CISSP勉強用) 事業継続計画(BCP) / 災害復旧計画(DRP)
- 事業継続計画 (BCP, Business Continuity Plan)
- BCPの4ステップ
- 事業継続計画における4つの活動
- ビジネス影響分析 (BIA / Business Impact Analysis)
- 災害復旧計画 (DRP / Disaster Recovery Plan)
- BCP/DRPに関連する目標時間等
- DRPの考慮費用
- 復旧用の代替施設(サイト)
- 訓練プログラムの例
※参考文献は以下です。
- CISSP 勉強ノート | 晴耕雨読
- CISSP問題集 (Amazon)
- ChatGTP先輩
事業継続計画 (BCP, Business Continuity Plan)
- 事業を継続するための計画 (ITシステムに限らない)
- 組織の全ての機能を継続するための計画であり、すべての機能が含まれる必要がある。
- 災害復旧計画や事業復旧計画といった、複数の計画から成る
- プライマリサイトで何らかのインシデントが起きた際に、以下を実施する計画
- プライマリサイトで事業を続けるために緊急時対応計画 (コンティンジェンシープラン) を実施する
- 緊急時対応計画で対応できないときは災害宣言をして災害復旧計画を実施し、バックアップサイトに移動する
- 最終的にプライマリサイトに戻るために回復計画を実施する
- トレーニング:基本的な意識啓発トレーニングを全社員が受ける必要がある。第一対応者や経営陣など、特定の役割を担う人は役割に特化したトレーニングを受ける(最低でも二人、バックアップのため)。
- 更新時期:演習の後や、本番環境やシステム環境に等に何らかの変更が発生した後に変更する必要がある。
BCPの4ステップ
事業継続計画における4つの活動
ビジネス影響分析 (BIA / Business Impact Analysis)
災害復旧計画 (DRP / Disaster Recovery Plan)
BCP/DRPに関連する目標時間等
DRPの考慮費用
復旧用の代替施設(サイト)
訓練プログラムの例
(CISSP勉強用) ドメイン4 - 802.1X (ユーザ認証規格)
- IEEE802.1X
- PPP
- EAP
- LEAP(Lightweight Extensible Authentication Protocol)
- EAP-TLS
- EAP-FAST
- PEAP (Protected Extensible Authentication Protocol)
- RADUIS
※参考文献は以下です。
- CISSP 勉強ノート | 晴耕雨読
- CISSP問題集 (Amazon)
- ChatGTP先輩
IEEE802.1X
- ポートベース認証を提供
- サプリカント、認証装置、認証サーバの3つが必要
- PAP(Password Authentication Protocol):IDとパスワードを平文で流す
- CHAP(Challenge Handshake Authentication Protocol):メッセージダイジェストを使うので、パスワードが暗号化して流れる。
PPP
EAP
- 802.1X認証で様々な認証が行えるようサポートされているプロトコル
- PPPを拡張したプロトコル
- EAP層でデータリンク層とAuthentication層の仲介をしている
- Ahthentication層には、TLS、MD5、TTLS、PEAP、LEAP、EAP-FASTなどがある
LEAP(Lightweight Extensible Authentication Protocol)
- TKIPに関する問題を扱うために設計されたCisco Systems社独自のプロトコル
- WEPで使用される。保護機能に脆弱性あがあり危険
- WPA2とPEAPまたはEAP-TLSなどの技術をサポートするべきである。
EAP-TLS
- 拡張認証プロトコル(EAP)の一種
- TLSを使用して、クライアントとサーバーの間で相互認証を行う認証プロトコル
- クライアントとサーバーの両方が持つ証明書を使用して、お互いの正当性を確認し、通信の安全性と信頼性が高まる
EAP-FAST
PEAP (Protected Extensible Authentication Protocol)
RADUIS
- 認証と認可を提供するAAAプロトコル
- モデム、無線ネットワーク、ネットワークデバイスに使用されることが多い
- ダイアルアップの利用者を認証する方法として開発され、リモートアクセスのサポートに利用されてきた
- デフォルトでUDPを利用する。TLSモードに変えることも可能
- デフォルトでパスワードのみを暗号化する。TLS over TCP に変えることも可能。UDP over TLS はサポートされていない
※参考書籍
(CISSP勉強用) ドメイン4 - 無線ネットワーク関連
※参考文献は以下です。
- CISSP 勉強ノート | 晴耕雨読
- CISSP問題集 (Amazon)
- ChatGTP先輩
端末間の通信
アドホックモード:各端末の無線LANアダプタが、1対1で互いに直接通信する
インフラストラクチャモード:アクセスポイントを介して端末間通信を行う
WiFi
- 802.11b : 2.4GHz : 11Mbps
- 802.11g : 2.4GHz : 54Mbps
- 802.11a : 5GHz : 54Mbps
- 802.11n : 2.4GHz/5GHz : 600Mbps (Wi-Fi 4)
- 802.11ac : 5GHz : 6.9Gbps (Wi-Fi 5)
- 802.11ax : 2.4GHz/5GHz : 9.6Gbps (Wi-Fi 6)
WEP
単一の事前に定義された静的な共有鍵に依存する,きわめて弱いセキュリティモデル
TKIP (Temporal Key Integrity Protocol)
無線の探索手法
・サイトサーベイ
- 無線ネットワークの範囲、信号強度、アクセス可能な場所を詳細に調査する方法
- 意図せずアクセスできてしまうエリアを特定する目的に最も適した手法
- 無線ネットワークがどの範囲まで届いているのか、または意図しない場所に信号が漏れていないかを精密に確認できる
・ウォーウォーキング
- 歩きながら無線ネットワークを調査すること
- ただし、これはあくまで簡易的なスキャンであり、サイトサーベイほどの精度を持ってない
- 車で移動しながら無線ネットワークを調査する方法
- これも簡易的な調査方法で、特定のエリアでネットワークが利用可能かどうかを確認するために使われますが、サイトサーベイのように細かい分析は行われない
セルラーホットスポット
・携帯のデザリングのこと
・PCをホットスポットと会社用のネットワークのどちらにも接続した場合、PCがインターネットからローカルネットワークへのブリッジとして機能する可能性がある
Bluetoothのセキュリティ
- Bluetoothは強力な暗号化機能を備えていないため、機密性が低い作業にのみ使用すべき
- Bluetooth PINは4桁のコードで,デフォルト値は0000であることが多い
- Bluetoothをオフにしてデバイスが検出モードでないことを確認することで、攻撃を防ぐのに役立つ。
- ブルースナーフィング攻撃 (bluesnarfing attack)
※参考書籍
(CISSP勉強用) ドメイン4 - 用語整理
- マルチレイヤプロトコル (MLP)
- フレームリレー
- スペクトラム拡散技術
- ~層ファイアウォール
- iSCSI(Internet Small Computer Systems Interface)
- FCoE(Fibre Channel over Ethernet)
- スクリーンスクレーピング
- Teardrop Attack
- 仮想環境
- VPNで使うプロトコル
- 非IPプロトコル
※参考文献は以下です。
- CISSP 勉強ノート | 晴耕雨読
- CISSP問題集 (Amazon)
- ChatGTP先輩
マルチレイヤプロトコル (MLP)
- プロトコルの組み合わせによって、TCP/IPがアプリケーションに必要なサービス品質を提供できなくなる
- 例:TLSを採用しないとデータの機密性と真正性を保護できない
- 懸念事項
- 隠れチャネルが隠蔽されること(上位層で暗号化することで下位層での検知を回避)
- 隠蔽されたトラフィックがフィルタをバイパスできること
- ネットワークセグメントに設定した論理的な教会を一定の条件下でバイパスできること
フレームリレー
- 複数のPVC(恒久仮想回線)をサポート
- サービスプロバイダーが顧客に提供する最低帯域幅を保証する認定情報速度(CIR)を備えたパケット交換技術
- フレームリレーは各接続点でDTEとDCEのペアを必要とする。DTEはフレームリレー網へのアクセスを提供し、DCEはプロバイダーから供給され。データをネットワークへ送信する.
スペクトラム拡散技術
- データを送信する際に複数の周波数を同時または順次利用する技術
- 通信をより安全にし、干渉を減らすためにデータを広い周波数帯に分散して送信
- FHSS(Frequency Hopping Spread Spectrum)
- 信号を短時間で異なる周波数に切り替えて送信する技術。
- 干渉に強く、セキュリティが向上する。
- DSSS(Direct Sequence Spread Spectrum)
- 信号を広い周波数帯に拡散して送信する技術。
- ノイズ耐性が強化され、信号が目立ちにくくなる。
~層ファイアウォール
保護するゾーン数で数字が変わる
例:ファイアウォールが保護するゾーンが3つ(DMZ, データベース、プライベートネットワーク)に分かれている場合は、3層ファイアウォールとなる
iSCSI(Internet Small Computer Systems Interface)
FCoE(Fibre Channel over Ethernet)
- イーサネットネットワーク上でファイバーチャネル通信を実現し,既存の高速ネットワークをストレージトラフィックの搬送に使用することを可能にする。
- ファイバーチャネルを実装するために特注のケーブルを配置するコストを削減できる。
スクリーンスクレーピング
- 画面に表示されている内容をキャプチャ・コピーし、そのデータを他のシステムに送信する技術
- リモートアクセスツールの一部は、この技術を利用して画面内容を取得し、リモートコンピュータにコピーする仕組みを実現する
Teardrop Attack
- サービス拒否(DoS)攻撃の一種
- 攻撃者はターゲット サーバに断片化されたパケットを送信し、そのサーバにTCP/IPの脆弱性があると、サーバがパケットを再構築できず、過負荷になる
- 古いOS(例: Windows 95, NTなど)が影響を受けることが多い
仮想環境
- VM間の通信は物理ネットワークを通らず、ハイパーバイザーの内部で処理されるため、IDSが監視する物理ネットワークでは検知できない。ミラーポートに送信されるのは、仮想環境の外側に送信されるトラフィックのみ。
- 仮想マシン間でカット・アンド・ペーストが許可されると、通常のネットワークセキュリティメカニズムを迂回してデータが転送される「隠れチャネル」が生じる可能性がある。これにより、不正なデータの転送や情報漏洩が発生するリスクがある。
- VMエスケープ攻撃
VPNで使うプロトコル
- PPTP(Point-to-Point Tunneling Protocol)
- L2TP(Layer 2 Tunneling Protocol)
- CiscoとMicrosoftが共同開発。
- トンネリング機能を提供しますが、暗号化はサポートしていません。
- IPSec(Internet Protocol Security)と組み合わせることで強力なセキュリティを実現します。
- 非IPプロトコルの処理も可能
- L2F(Layer 2 Forwarding)
- IPSec
非IPプロトコル
・IPX/SPX,NetBEUI,およびAppleTalkなど
・ファイアウォールでフィルタリングできない可能性がある
※参考書籍