ITパスポート過去問 平成30年度(2018年)問77
情報セキュリティの脅威に関する説明①~③と,用語の適切な組合せはどれか。
- ① Webページに,利用者の入力データをそのまま表示するフォーム又は処理があるとき,第三者が悪意あるスクリプトを埋め込み,訪問者のブラウザ上で実行させることによって,cookieなどのデータを盗み出す攻撃
- ② 多数のPCに感染し,ネットワークを介した指示に従ってPCを不正に操作することによって,一斉攻撃などを行うプログラム
- ③ 利用者に有用なプログラムと見せかけて,インストール及び実行させることによって,利用者が意図しない情報の破壊や漏えいを行うプログラム
選択肢
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
①は、Webページの出力に悪意あるスクリプトを混入させ、訪問者のブラウザ上で実行させてcookieなどを盗み出す攻撃なので、クロスサイトスクリプティング(XSS)です。②は、多数のPCに感染して外部の指示で一斉攻撃などに悪用されるプログラムなので、ボットです。③は、有用なプログラムに見せかけて利用者に実行させ、意図しない情報の破壊や漏えいを行うプログラムなので、トロイの木馬です。よって正解は「イ」です。
Point
この問題は、脅威の説明文から用語を正しく判別する力を確認します。クロスサイトスクリプティング(XSS)、ボット、トロイの木馬の典型的な特徴を区別できることが目的です。
解くために必要な知識
この問題を解くには、クロスサイトスクリプティング(XSS)・ボット・トロイの木馬の特徴を理解している必要があります。
用語の整理
| 用語名 | 意味 | 試験での見分け方 |
|---|---|---|
| クロスサイトスクリプティング(XSS) | Webページに悪意あるスクリプトを混入させ、閲覧者のブラウザ上で実行させる攻撃です。cookieの窃取などを狙います。 | Web、スクリプト、ブラウザで実行、cookie窃取がキーワードです。 |
| ボット | 感染したPCを外部から指示して不正操作できるようにするプログラムです。多数が連携して一斉攻撃などに悪用されます。 | 多数端末、遠隔指示、一斉攻撃がキーワードです。 |
| トロイの木馬 | 有用なプログラムを装って利用者に実行させ、情報漏えいや破壊などの不正動作を行うプログラムです。 | 有用に見せかける、実行させる、利用者が意図しない動作がキーワードです。 |
他の選択肢に出てくる用語
| 用語名 | 意味 | 関連して混同しやすい点 |
|---|---|---|
| 標的型攻撃 | 特定の組織や個人を狙い、メール添付や偽サイトなど複数の手段を組み合わせて侵入や窃取を狙う攻撃です。 | ①はWebページの出力処理を悪用する説明であり、「特定の相手を狙う」ことが主題ではないため標的型攻撃とは異なります。 |
問題の解法手順
選択肢を構成する要素の整理
| 説明 | 内容の特徴 | 該当する用語 |
|---|---|---|
| ① | Webページに悪意あるスクリプトを埋め込み、訪問者のブラウザで実行させてcookieなどを盗む | クロスサイトスクリプティング |
| ② | 多数のPCに感染し、ネットワーク経由の指示で不正操作や一斉攻撃などを行う | ボット |
| ③ | 有用なプログラムに見せかけてインストールさせ、情報の破壊や漏えいを行う | トロイの木馬 |
①=クロスサイトスクリプティング、②=ボット、③=トロイの木馬の組合せに一致するのは選択肢イです。
選択肢ごとの解説
- ア:不正解
①はクロスサイトスクリプティングで一致しますが、②はボットの説明であり、トロイの木馬ではありません。③はトロイの木馬の説明であり、ボットではありません。よってこの選択肢は誤りです。
- イ:正解
①はクロスサイトスクリプティング、②はボット、③はトロイの木馬にそれぞれ対応し、3つとも一致します。したがって正解です。
- ウ:不正解
①はクロスサイトスクリプティングの説明であり、標的型攻撃ではありません。②はボットの説明であり、クロスサイトスクリプティングではありません。よってこの選択肢は誤りです。
- エ:不正解
①はクロスサイトスクリプティングの説明であり、標的型攻撃ではありません。③はクロスサイトスクリプティングの説明ではなく、トロイの木馬の説明です。よってこの選択肢は誤りです。
まとめ
①は、Webページの出力に悪意あるスクリプトを混入させ、訪問者のブラウザ上で実行させてcookieなどを盗み出す攻撃なので、クロスサイトスクリプティング(XSS)です。②は、多数のPCに感染して外部の指示で一斉攻撃などに悪用されるプログラムなので、ボットです。③は、有用なプログラムに見せかけて利用者に実行させ、意図しない情報の破壊や漏えいを行うプログラムなので、トロイの木馬です。よって正解は「イ」です。
テクノロジ系 > 技術要素 > セキュリティ
①はクロスサイトスクリプティングで一致しますが、②はボットの説明であり、トロイの木馬ではありません。③はトロイの木馬の説明であり、ボットではありません。よってこの選択肢は誤りです。
①はクロスサイトスクリプティング、②はボット、③はトロイの木馬にそれぞれ対応し、3つとも一致します。したがって正解です。
①はクロスサイトスクリプティングの説明であり、標的型攻撃ではありません。②はボットの説明であり、クロスサイトスクリプティングではありません。よってこの選択肢は誤りです。
①はクロスサイトスクリプティングの説明であり、標的型攻撃ではありません。③はクロスサイトスクリプティングの説明ではなく、トロイの木馬の説明です。よってこの選択肢は誤りです。