ITパスポート過去問 令和5年度(2023年)問58
Webサイトなどに不正なソフトウェアを潜ませておき,PCやスマートフォンなどのWebブラウザからこのサイトにアクセスしたとき,利用者が気付かないうちにWebブラウザなどの脆(ぜい)弱性を突いてマルウェアを送り込む攻撃はどれか。
選択肢
- ア:DDoS攻撃
- イ:SQLインジェクション
- ウ:ドライブバイダウンロード
- エ:フィッシング攻撃
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ドライブバイダウンロードは、不正なコードが仕込まれたWebサイトにアクセスしただけで、利用者が気付かないうちにWebブラウザなどの脆弱性を悪用してマルウェアを自動的にダウンロードさせたり、実行させたりする攻撃です。
Point
この問題は、Webサイトの閲覧をきっかけに、Webブラウザなどの脆弱性を突いてマルウェアを送り込む攻撃手法の名称を答える問題です。DDoS攻撃、SQLインジェクション、フィッシング攻撃と混同せず、攻撃の目的と手口の違いを区別できることが求められます。
解くために必要な知識
用語の整理
各攻撃手法の目的と手口
| 用語 | 意味 | 主な狙い |
|---|---|---|
| ドライブバイダウンロード | Webサイト閲覧だけで、ブラウザやプラグインなどの脆弱性を悪用し、利用者に気付かれずマルウェアを自動的にダウンロード・実行させる攻撃です。 | 利用者端末のマルウェア感染 |
| DDoS攻撃 | 多数の端末から大量の通信を送り、サーバなどのサービスを利用不能にする攻撃です。 | サービス停止、遅延 |
| SQLインジェクション | 入力欄などにSQL文を混入させ、データベースを不正操作する攻撃です。 | データの閲覧、改ざん、破壊など |
| フィッシング攻撃 | 偽のWebサイトやメールで利用者をだまし、ID・パスワードなどを入力させて盗む手口です。 | 認証情報などの窃取 |
見分け方(試験での着眼点)
-
「サイトにアクセスしただけで感染する」「気付かないうちに感染する」とあれば、ドライブバイダウンロードが該当します。
-
「入力欄に不正な文字列を入れてデータベースを操作する」とあれば、SQLインジェクションが該当します。
-
「偽サイトに誘導して入力させる」とあれば、フィッシング攻撃が該当します。
-
「大量アクセスで利用不能にする」とあれば、DDoS攻撃が該当します。
選択肢ごとの解説
- ア:不正解
DDoS攻撃は、大量の通信でWebサーバなどを停止、遅延させる攻撃です。利用者端末のWebブラウザなどの脆弱性を突いてマルウェアを送り込む手口ではありません。
- イ:不正解
SQLインジェクションは、Webアプリケーションの入力処理の不備を利用してSQLを不正に実行し、データベースの情報を不正に閲覧、改ざんする攻撃です。利用者端末にマルウェアを送り込む攻撃ではありません。
- ウ:正解
ドライブバイダウンロードは、改ざんされたWebサイトなどを閲覧しただけで、Webブラウザなどの脆弱性を悪用され、利用者が気付かないうちにマルウェアを送り込まれる攻撃です。問題文の内容に一致するため正解です。
- エ:不正解
フィッシング攻撃は、偽サイトへ誘導してIDやパスワードなどを入力させ、情報を盗む攻撃です。脆弱性を突いて自動的にマルウェア感染させる説明とは異なります。
まとめ
ドライブバイダウンロードは、不正なコードが仕込まれたWebサイトにアクセスしただけで、利用者が気付かないうちにWebブラウザなどの脆弱性を悪用してマルウェアを自動的にダウンロードさせたり、実行させたりする攻撃です。
テクノロジ系 > 技術要素 > セキュリティ
DDoS攻撃は、大量の通信でWebサーバなどを停止、遅延させる攻撃です。利用者端末のWebブラウザなどの脆弱性を突いてマルウェアを送り込む手口ではありません。
SQLインジェクションは、Webアプリケーションの入力処理の不備を利用してSQLを不正に実行し、データベースの情報を不正に閲覧、改ざんする攻撃です。利用者端末にマルウェアを送り込む攻撃ではありません。
ドライブバイダウンロードは、改ざんされたWebサイトなどを閲覧しただけで、Webブラウザなどの脆弱性を悪用され、利用者が気付かないうちにマルウェアを送り込まれる攻撃です。問題文の内容に一致するため正解です。
フィッシング攻撃は、偽サイトへ誘導してIDやパスワードなどを入力させ、情報を盗む攻撃です。脆弱性を突いて自動的にマルウェア感染させる説明とは異なります。