問題
問60
オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り、正式な取引画面の間に不正な画面を介在させ、振込先の情報を不正に書き換えて、攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。
- MITB (Man In The Browser)攻撃
- SQLインジェクション
- ソーシャルエンジニアリング
- ブルートフォース攻撃
[出典:ITパスポート試験 平成30年度秋期 問60]
正解
正解は「ア」です。
解説
正解はアのMITB (Man In The Browser)攻撃です。MITB攻撃とは、「Man In The Browser」の略で、ブラウザ内に侵入したマルウェアによって、ユーザーがWebブラウザで行うオンラインバンキングなどの操作を盗み見たり、内容を改ざんしたりする攻撃手法のことです。この攻撃では、ユーザーが正規のウェブサイトにアクセスしているにもかかわらず、マルウェアがブラウザとウェブサイト間の通信を操作し、表示される画面や送信されるデータを不正に書き換えます。
例えば、オンラインバンキングで送金手続きを行う際、ユーザーは正しい口座番号を入力しているつもりでも、ブラウザに侵入したマルウェアが裏で口座番号を攻撃者のものに書き換え、不正送金を行ってしまう、といった被害が発生します。ユーザーからは通常の操作に見えるため、気づきにくいのが特徴です。対策としては、常にOSやブラウザを最新の状態に保ち、セキュリティソフトを導入することが挙げられます。
イ(SQLインジェクション):
SQLインジェクションは、データベースを操作するための言語であるSQL文に不正なコードを挿入し、データベースから情報を不正に取得したり、改ざんしたりする攻撃です。ウェブサイトの入力フォームなどを介して行われます。
ウ(ソーシャルエンジニアリング):
ソーシャルエンジニアリングは、技術的な手段ではなく、人の心理的な隙や行動のミスにつけこみ、パスワードなどの機密情報を不正に入手する詐欺的な手法です。例えば、「システム担当者ですがパスワードを教えてください」と電話で尋ねるような行為です。
エ(ブルートフォース攻撃):
ブルートフォース攻撃は、パスワードなどを特定するために、考えられる全ての文字の組み合わせを総当たりで試していく攻撃手法です。非常に多くの試行回数が必要となりますが、単純なパスワードであれば突破される可能性があります。
難易度
この問題は、情報セキュリティに関する基本的な攻撃手法の知識を問うもので、難易度は中程度です。オンラインバンキングを利用する機会が多い現代において、MITB攻撃は比較的新しい脅威であり、その特徴を正確に理解しているかが鍵となります。他の選択肢もよく出題される基本的な攻撃ですが、それぞれの特徴を区別できるかがポイントになります。
用語補足
MITB (Man In The Browser)攻撃:
ユーザーのブラウザにマルウェアが侵入し、正規のウェブサイトとユーザーの間に入り込んで、表示内容の改ざんや通信内容の盗聴・不正操作を行う攻撃です。あたかもブラウザ自身がユーザーをだましているような状態になります。
SQLインジェクション:
ウェブサイトの入力フォームなどに、データベースを操作する不正なコード(SQL文)を混ぜて入力することで、データベースから情報を盗み出したり、データを改ざんしたりする攻撃です。例えば、ユーザー名とパスワードの入力欄に不正なコードを書き込むことで、ログイン認証を突破するようなケースが該当します。
ソーシャルエンジニアリング:
コンピュータシステムそのものを攻撃するのではなく、人間の心理的な弱点や不注意を利用して、パスワードなどの機密情報を聞き出したり、不正な操作をさせたりする手法です。電話やメールで偽の担当者になりすまして情報を引き出す「なりすまし」などが代表的です。
ブルートフォース攻撃:
パスワードなどの認証情報を当てるために、考えられる全ての文字の組み合わせを一つずつ試していく「総当たり攻撃」のことです。例えば、4桁の数字パスワードであれば、「0000」から「9999」まで全て試すようなイメージです。
対策
この問題を解くためには、情報セキュリティの主要な攻撃手法それぞれの特徴と違いを正確に理解しておくことが重要です。特に、オンラインバンキングを狙う攻撃は多岐にわたるため、MITB攻撃が「ブラウザ乗っ取り」という具体的な動作を伴うことを把握しておく必要があります。SQLインジェクション、ソーシャルエンジニアリング、ブルートフォース攻撃も頻出用語なので、それぞれの定義と具体的な手口を整理して覚えましょう。
