問題
問58
Webサイトなどに不正なソフトウェアを潜ませておき、PCやスマートフォンなどのWebブラウザからこのサイトにアクセスしたとき、利用者が気付かないうちにWebブラウザなどの脆弱性を突いてマルウェアを送り込む攻撃はどれか。
- DDoS攻撃
- SQLインジェクション
- ドライブバイダウンロード
- フィッシング攻撃
[出典:ITパスポート試験 令和5年度 問58]
スポンサーリンク
正解
正解は「ウ」です。
解説
ドライブバイダウンロードとは、利用者が特定のWebサイトにアクセスするだけで、気づかないうちにマルウェアがダウンロードされ、感染する攻撃手法です。この攻撃は、ブラウザやプラグインの脆弱性を悪用し、ユーザーの操作なしに自動でマルウェアを実行させる点が特徴です。
この手法は、悪意のある広告(マルバタイジング)や改ざんされた正規のWebサイトを経由して行われることがあり、気づかないうちにPCやスマートフォンが感染する危険があります。
ア(DDoS攻撃):
DDoS(Distributed Denial of Service)攻撃は、ターゲットのサーバやネットワークに対して大量のリクエストを送り、システムを過負荷状態にしてサービスを妨害する攻撃です。マルウェアを送り込む攻撃ではありません。
イ(SQLインジェクション):
SQLインジェクションは、データベースを操作するSQL文に不正な命令を注入し、データの改ざんや情報漏洩を引き起こす攻撃です。Webブラウザの脆弱性を利用してマルウェアを送り込む攻撃ではありません。
エ(フィッシング攻撃):
フィッシング攻撃は、偽のWebサイトを用いて利用者を騙し、パスワードやクレジットカード情報などを盗み取る攻撃です。マルウェアの自動ダウンロードとは異なります。
難易度
普通
基本的なサイバー攻撃の分類を理解していれば解ける問題です。ドライブバイダウンロードとフィッシングの違いを正しく認識することがポイントとなります。
スポンサーリンク
用語補足
ドライブバイダウンロード:
悪意のあるWebサイトにアクセスした際に、ユーザーが意図せずマルウェアがダウンロード・実行される攻撃手法です。
フィッシング攻撃:
偽のWebサイトを使って、ユーザーからパスワードや個人情報を騙し取る攻撃です。金融機関やECサイトを装ったメールなどが一般的です。
対策
- OSやブラウザ、プラグインを最新の状態に更新し、脆弱性を修正する。
- 信頼できないWebサイトへのアクセスを避け、怪しい広告をクリックしないようにする。
- セキュリティソフトを導入し、リアルタイムでのマルウェア検出を行う。
