問題
問91
クロスサイトスクリプティングなどの攻撃で、Cookieが漏えいすることによって受ける被害の例はどれか。
- PCがウイルスに感染する。
- PC内のファイルを外部に送信される。
- Webサービスのアカウントを乗っ取られる。
- 無線LANを介してネットワークに侵入される。
[出典:ITパスポート試験 平成29年度秋期 問91]
正解
正解は「ウ」です。
解説
正解は「ウ:Webサービスのアカウントを乗っ取られる。」です。 クロスサイトスクリプティング(XSS)は、ウェブサイトの脆弱性を悪用した攻撃の一種です。攻撃者は、悪意のあるスクリプト(プログラムの断片)を正規のウェブサイトに埋め込み、そのウェブサイトを訪れた他のユーザーのブラウザ上で実行させてしまいます。XSS攻撃によって、攻撃者はユーザーのCookie情報を盗むことがよくあります。Cookieは、ウェブサイトがユーザーの情報を一時的に保存するために使用する小さなデータファイルです。
例えば、ウェブサイトにログインした際に「ログイン状態を維持する」というチェックボックスにチェックを入れると、次回からIDやパスワードを入力しなくても自動的にログインできるのは、Cookieにログイン情報が保存されているからです。 もし攻撃者がこのログイン情報を含むCookieを盗んでしまったら、そのCookieを使って、まるで正規のユーザーであるかのようにWebサービスにログインできてしまいます。これが「アカウントの乗っ取り」です。
例えるなら、家の鍵(Cookie)を宅配業者(ウェブサイト)に預けていて、その宅配業者の事務所(ウェブサイトの脆弱性)に泥棒(攻撃者)が侵入し、その鍵を盗んでしまったようなものです。盗まれた鍵を使えば、泥棒は勝手に家(Webサービスのアカウント)に入ることができてしまいます。そのため、Webサービスのアカウントが乗っ取られるのが、Cookie漏えいによる主な被害の一つです。
ア(PCがウイルスに感染する。):
クロスサイトスクリプティングは、ウェブブラウザ上で実行されるスクリプトによって情報が盗まれる攻撃であり、直接PCがウイルスに感染するわけではありません。ウイルス感染は、通常、悪意のあるソフトウェアのダウンロードや実行によって起こることが多いです。
イ(PC内のファイルを外部に送信される。):
クロスサイトスクリプティング攻撃では、ブラウザのセキュリティ制限(サンドボックス)があるため、通常、PCのローカルファイルシステムに直接アクセスしてファイルを外部に送信することは困難です。このような行為は、別の種類のマルウェア感染によって引き起こされることが多いです。
エ(無線LANを介してネットワークに侵入される。):
無線LANを介したネットワーク侵入は、Wi-Fiの暗号化の脆弱性や設定ミスを悪用した攻撃であり、クロスサイトスクリプティングとは攻撃の経路や手法が異なります。XSSはウェブアプリケーションの脆弱性を狙う攻撃です。
難易度
この問題の難易度は、ITの基本的なセキュリティ用語を知っていれば中程度、知らない場合は難しいと感じるかもしれません。特に「クロスサイトスクリプティング」と「Cookie」の役割を理解しているかどうかが鍵となります。ウェブサイトの仕組みやセキュリティについて学習していれば、正解を導き出すことは比較的容易です。しかし、これらの専門用語になじみがないと、各選択肢がどのような被害と関連するのか判断が難しくなるでしょう。
用語補足
クロスサイトスクリプティング (XSS):
ウェブサイトの脆弱性を悪用し、攻撃者が悪意のあるスクリプトを埋め込み、それをウェブサイトを訪れた他のユーザーのブラウザで実行させる攻撃です。これにより、ユーザーのCookieを盗んだり、偽の情報を表示させたりすることが可能になります。例えるなら、掲示板に悪質な落書き(スクリプト)を書き込んだら、それを見た人全員がその落書きの指示通りに動いてしまうようなものです。
Cookie:
ウェブサイトがユーザーのウェブブラウザに保存する小さなデータファイルです。これにより、ユーザーのログイン状態や閲覧履歴、設定などを記憶し、次回訪問時にスムーズな利用を可能にします。例えば、一度ログインしたサイトに再度訪問した際、自動的にログイン状態になっているのはCookieのおかげです。
ウイルス:
コンピュータに不正な処理を行わせるために作られた悪意のあるプログラムの一種です。自己増殖能力を持ち、感染したコンピュータのシステムを破壊したり、データを盗み出したりします。例えるなら、人間に感染して病気を引き起こす生物学的なウイルスのように、コンピュータに悪影響を及ぼします。
Webサービス:
インターネットを通じて提供される様々なサービスのことです。例えば、オンラインショッピング、SNS、動画配信サイトなどがWebサービスにあたります。ウェブブラウザや専用のアプリケーションを使って利用します。
対策
この問題を解くためのポイントは、主要なサイバー攻撃手法とその影響範囲、そして「Cookie」が果たす役割を正確に理解することです。特に、クロスサイトスクリプティングがブラウザ上で実行され、Cookieの盗難を通じてアカウント乗っ取りにつながるという知識が重要です。対策としては、日頃からセキュリティ用語の意味を一つ一つ丁寧に学習し、それぞれの攻撃がどのような仕組みで、どのような被害を引き起こすのかを具体例とともに覚えることが効果的です。また、ウェブアプリケーションの仕組みに関する基本的な知識も役立ちます。
