ITパスポート過去問 平成30年度(2018年)問60
オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて,攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。
選択肢
- ア:MITB(Man In The Browser)攻撃
- イ:SQLインジェクション
- ウ:ソーシャルエンジニアリング
- エ:ブルートフォース攻撃
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
MITB攻撃は、マルウェアなどでブラウザを乗っ取り、オンラインバンキングの正規の取引画面の表示や送信内容に不正な処理を混ぜて、振込先口座や金額などを利用者に気付かれにくい形で書き換える攻撃です。問題文の「ブラウザを乗っ取り」「正規画面の間に不正画面を介在」「振込先情報を書き換えて送金させる」に該当するため、正解は「ア」です。
Point
この問題は、オンラインバンキングで発生する典型的な不正送金の手口として、ブラウザを乗っ取って取引内容を改ざんする攻撃がMITB攻撃であることを理解しているかを確認しています。あわせて、SQLインジェクション、ソーシャルエンジニアリング、ブルートフォース攻撃との違いを区別できることがポイントです。
解くために必要な知識
この問題を解くには、MITB攻撃を中心とした攻撃手法の特徴の理解が必要です。
用語の整理
| 用語名 | 意味 |
|---|---|
| MITB(Man In The Browser)攻撃 | マルウェアでブラウザを乗っ取り、利用者の入力内容や送信内容などを取引の途中で監視・改ざんする攻撃です。オンラインバンキングの不正送金で使われることがあります。 |
| SQLインジェクション | Webアプリケーションの入力欄などに不正なSQL文を混入させ、データベースを不正に参照・改ざんする攻撃です。 |
| ソーシャルエンジニアリング | 技術的な脆弱性ではなく、人の不注意や心理を利用して、パスワードなどの情報を入手する手口です。 |
| ブルートフォース攻撃 | パスワードなどを、考えられる文字列の組合せを順に試して解読する総当たり攻撃です。 |
紛らわしい点
MITBは、ログイン後の取引画面や送信内容を利用者のブラウザ上で改ざんする点が特徴です。単なる認証突破(ブルートフォース)や、入力値を介したDB操作(SQLインジェクション)とは狙う箇所が異なります。
選択肢ごとの解説
- ア:正解
MITB(Man In The Browser)攻撃は、マルウェアでブラウザを乗っ取り、正規の取引画面の処理に割り込んで振込先情報などを改ざんし、不正送金を行わせる攻撃です。問題文と一致するため正解です。
- イ:不正解
SQLインジェクションは、Webアプリケーションの入力処理の不備を利用してSQLを実行させ、データベースの情報漏えいや改ざんを狙う攻撃です。マルウェアでブラウザを乗っ取る攻撃ではありませんので誤りです。
- ウ:不正解
ソーシャルエンジニアリングは、人をだましてパスワードを聞き出す、画面や書類を盗み見るなど、人の行動を利用する手口です。マルウェアでブラウザを乗っ取る攻撃ではありませんので誤りです。
- エ:不正解
ブルートフォース攻撃は、パスワードを総当たりで試すことで認証を突破しようとする手口です。ログイン突破が中心であり、マルウェアでブラウザを乗っ取る攻撃ではありませんので誤りです。
まとめ
MITB攻撃は、マルウェアなどでブラウザを乗っ取り、オンラインバンキングの正規の取引画面の表示や送信内容に不正な処理を混ぜて、振込先口座や金額などを利用者に気付かれにくい形で書き換える攻撃です。問題文の「ブラウザを乗っ取り」「正規画面の間に不正画面を介在」「振込先情報を書き換えて送金させる」に該当するため、正解は「ア」です。
テクノロジ系 > 技術要素 > セキュリティ
MITB(Man In The Browser)攻撃は、マルウェアでブラウザを乗っ取り、正規の取引画面の処理に割り込んで振込先情報などを改ざんし、不正送金を行わせる攻撃です。問題文と一致するため正解です。
SQLインジェクションは、Webアプリケーションの入力処理の不備を利用してSQLを実行させ、データベースの情報漏えいや改ざんを狙う攻撃です。マルウェアでブラウザを乗っ取る攻撃ではありませんので誤りです。
ソーシャルエンジニアリングは、人をだましてパスワードを聞き出す、画面や書類を盗み見るなど、人の行動を利用する手口です。マルウェアでブラウザを乗っ取る攻撃ではありませんので誤りです。
ブルートフォース攻撃は、パスワードを総当たりで試すことで認証を突破しようとする手口です。ログイン突破が中心であり、マルウェアでブラウザを乗っ取る攻撃ではありませんので誤りです。