問題
問56
HTML形式の電子メールの特徴を悪用する攻撃はどれか。
- DoS攻撃
- SQLインジェクション
- 悪意のあるスクリプトの実行
- 辞書攻撃
[出典:ITパスポート試験 令和2年度 問56]
スポンサーリンク
正解
正解は「ウ」です。
解説
正解は「ウ:悪意のあるスクリプトの実行」です。HTML形式の電子メールでは、Webページと同様にHTMLタグを使ってメールを装飾したり、画像やリンクを挿入することができます。しかし、これを悪用してJavaScriptなどのスクリプトを埋め込み、受信者がメールを開いたときに自動的にスクリプトが実行されるようにする攻撃があります。
これにより、個人情報を盗んだり、ウイルスに感染させるなどの被害が発生するおそれがあります。たとえば、Webメールでメールを開いただけで広告をクリックさせるような処理を自動で動かす「クリックジャッキング」のような手法も一例です。
このような攻撃は、「HTMLメールにスクリプトが埋め込まれていて、それが勝手に動作する」という点がポイントです。メールを「開くだけ」で攻撃が成立してしまうため、特に注意が必要です。信頼できない送信元からのメールは、HTML形式であっても不用意に開かないことが重要です。
ア(DoS攻撃):
大量のリクエストを送るなどして、サーバやネットワークをダウンさせる攻撃であり、HTMLメールの特徴を利用するものではありません。
イ(SQLインジェクション):
Webアプリケーションの入力フォームなどに悪意あるSQL文を埋め込むことで、データベースを不正操作する攻撃です。HTMLメールとは関係がありません。
エ(辞書攻撃):
パスワードを推測するために、よく使われる単語を大量に試す攻撃で、メールの形式やスクリプトとは無関係です。
難易度
HTMLメールを使った攻撃についての知識が問われる問題で、IT初心者にとってはやや見慣れない分野かもしれませんが、「スクリプトが動く」という特性に着目すれば推測可能です。実務やニュースなどでも取り上げられる内容で、頻出テーマのため、基本知識として押さえておくことが大切です。
スポンサーリンク
用語補足
HTMLメール:
Webページのように色や画像、リンクなどを含めて装飾できるメール形式です。見た目が豊かになりますが、悪意あるスクリプトが埋め込まれるリスクもあるため注意が必要です。
スクリプト:
特定の処理を自動で実行するための命令文です。たとえば、ボタンをクリックしたときに画像が切り替わるようなWebページの動作などに使われています。
対策
HTMLメールの特徴として「スクリプトが動作する可能性がある」ことを覚えておきましょう。セキュリティに関する問題では、技術的な知識よりも「どんなリスクがあるか」「どんな被害が想定されるか」をイメージできることが重要です。普段のメール利用でも、HTMLメールのリスクを意識して対策を考えるようにしましょう。
