問題
問77
情報セキュリティの脅威に関する説明 ①~③と、用語の適切な組合せはどれか。
- ① Web ページに、利用者の入力データをそのまま表示するフォーム又は処理があ るとき、第三者が悪意あるスクリプトを埋め込み、訪問者のブラウザ上で実行さ せることによって, cookieなどのデータを盗み出す攻擊
- ② 多数の PC に感染し、ネットワークを介した指示に従ってPCを不正に操作する ことによって、一斉攻撃などを行うプログラム
- ③ 利用者に有用なプログラムと見せかけて,インストール及び実行させることに よって、利用者が意図しない情報の破壊や漏えいを行うプログラム
[出典:ITパスポート試験 平成30年度秋期 問77]
正解
正解は「イ」です。
解説
正解は「イ」です。 記述①は「クロスサイトスクリプティング」の説明に該当します。これは、ウェブサイトの脆弱性を利用して、悪意のあるスクリプトをユーザーのブラウザ上で実行させ、クッキー(Cookie)などの情報を盗み出す攻撃手法です。例えば、信頼できるお店のウェブサイトに見せかけて、実際には偽の注文フォームを表示し、入力されたクレジットカード情報を盗むような手口です。
記述②は「ボット」の説明に該当します。ボットとは、コンピュータに感染し、外部からの指令を受けて不正な活動を行うプログラムのことです。複数のボットに感染したコンピュータが「ボットネット」を形成し、一斉に特定のサーバーへ攻撃を仕掛けることもあります。まるで、持ち主の知らないうちに勝手に動いてしまうロボットのようなものです。
記述③は「トロイの木馬」の説明に該当します。これは、一見すると無害で役立つソフトウェアのように見えますが、内部に悪意のあるプログラムが隠されており、インストールされると情報を破壊したり漏えいさせたりします。例えば、無料のゲームだと思ってダウンロードしたら、実は個人情報を抜き取るウイルスが入っていた、というようなケースです。それぞれの攻撃手法の具体的な特徴を理解することが重要です。
ア(① クロスサイトスクリプティング ② トロイの木馬 ③ ボット):
記述②と記述③の攻撃手法の組合せが逆になっています。記述②はボット、記述③はトロイの木馬です。
ウ(① 標的型攻撃 ② クロスサイトスクリプティング ③ トロイの木馬):
記述①と記述②の攻撃手法が誤っています。また、標的型攻撃は特定の組織や個人を狙う攻撃であり、一般的な脅威の分類とは異なります。
エ(① 標的型攻撃 ② トロイの木馬 ③ クロスサイトスクリプティング):
記述①と記述②、記述③の攻撃手法の組合せがすべて誤っています。標的型攻撃は特定の組織や個人を狙う攻撃です。
難易度
この問題は、情報セキュリティの基本的な脅威に関する知識を問うもので、初心者にとっては少し難しいかもしれません。各攻撃手法の名前と具体的な内容を正確に覚える必要があるためです。特に、クロスサイトスクリプティング、ボット、トロイの木馬のように似たような言葉が多く、混同しやすい点が難易度を上げています。しかし、ITパスポート試験では頻出のテーマなので、それぞれの攻撃の目的と特徴をしっかり理解すれば、得点源にできます。
用語補足
クロスサイトスクリプティング:
ウェブサイトの脆弱性を利用して、悪意のあるスクリプトをユーザーのブラウザ上で実行させ、ユーザーの情報を盗む攻撃です。例えば、掲示板に悪意のあるコードを書き込み、それを見た他の利用者の個人情報が盗まれる、といったケースがあります。
ボット:
コンピュータに感染し、外部からの指令によって不正な活動を行うプログラムのことです。例えば、感染したたくさんのコンピュータが、指令を受けて特定のウェブサイトに大量のアクセスを集中させ、サービスを停止させるなどの攻撃に使われます。
トロイの木馬:
無害なプログラムやファイルに見せかけて、実際には悪意のある機能を持つプログラムのことです。例えば、便利なフリーソフトだと思ってインストールしたら、裏で勝手に個人情報を外部に送信していた、といったケースがこれに該当します。
標的型攻撃:
特定の組織や個人を狙い、その対象から情報を盗み出すことなどを目的としたサイバー攻撃です。一般的なばらまき型攻撃とは異なり、攻撃対象の弱点を事前に調査し、巧妙な手口で侵入を試みます。例えば、企業に対して、その企業特有の業務内容に関連するような偽のメールを送って添付ファイルを開かせ、機密情報を盗むといった手法が使われます。
対策
この問題を解くためのポイントは、情報セキュリティにおける主要な攻撃手法(クロスサイトスクリプティング、ボット、トロイの木馬、標的型攻撃など)について、それぞれの名称と具体的な内容、そして攻撃の目的を正確に理解することです。特に、似たような名前の攻撃が多いので、違いを明確にして覚えることが重要です。過去問を繰り返し解き、各攻撃手法の記述パターンに慣れることが対策になります。日常生活での例えなどを活用して、イメージとして定着させることも有効です。
