ITパスポート過去問 令和2年度(2020年)問56
HTML形式の電子メールの特徴を悪用する攻撃はどれか。
選択肢
- ア:DoS攻撃
- イ:SQLインジェクション
- ウ:悪意のあるスクリプトの実行
- エ:辞書攻撃
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
HTML形式の電子メールは、本文をHTMLとして解釈して表示します。この性質を悪用すると、本文に埋め込んだ悪意のあるスクリプトやそれに準ずる仕掛けを、受信者の閲覧をきっかけに動作させる攻撃につながります。したがって、該当するのは「ウ」です。
Point
この問題は、HTML形式の電子メールが「HTMLとして解釈されて表示される」ことにより発生し得るリスクを理解しているかを確認するものです。HTMLメールがテキストメールと比べて持つ機能が、どの攻撃に結び付くかを判断できることがねらいです。
解くために必要な知識
この問題を解くには、HTMLメールの表示の仕組みと、表示時に発生し得るスクリプト実行リスクを理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| HTML形式の電子メール(HTMLメール) | 本文がHTMLで記述され、メールソフトがHTMLとして解釈して表示するメールです。装飾、画像表示、リンクなどが可能です。 |
| 悪意のあるスクリプトの実行 | 受信者がメールを閲覧したことをきっかけに、意図しない処理を動作させ、情報の取得や不正な操作の誘導などにつなげることです。 |
| DoS攻撃 | 大量の通信や処理要求を発生させて、サービスを利用しにくくしたり停止させたりする攻撃です。 |
| SQLインジェクション | 入力値にSQL文を混入させて、データベースを不正に操作する攻撃です。 |
| 辞書攻撃 | よく使われる文字列候補(辞書)を用いてパスワードを推測する攻撃です。 |
覚え方(問題で問われている対応関係)
| 問題の着眼点 | 結び付くもの |
|---|---|
| HTMLを解釈して表示する機能 | 表示時に悪意のあるスクリプトなどを動作させる攻撃 |
選択肢ごとの解説
- ア:不正解
DoS攻撃はサーバやネットワークに負荷をかけてサービスを利用しにくくする攻撃です。HTML形式メールの表示機能を悪用する攻撃ではありません。
- イ:不正解
SQLインジェクションは、Webアプリケーションの入力値がSQLとして処理されることを悪用し、データベースを不正操作する攻撃です。HTML形式メールの特徴を悪用するものではありません。
- ウ:正解
HTML形式メールはHTMLを解釈して表示するため、その表示機能を悪用して悪意のあるスクリプトなどを利用し、有害な処理の実行や不正なサイトへの誘導を狙うことがあります。
- エ:不正解
辞書攻撃は、辞書にある単語などの候補を使ってパスワードを推測する攻撃です。HTML形式メールの特徴を悪用するものではありません。
まとめ
HTML形式の電子メールは、本文をHTMLとして解釈して表示します。この性質を悪用すると、本文に埋め込んだ悪意のあるスクリプトやそれに準ずる仕掛けを、受信者の閲覧をきっかけに動作させる攻撃につながります。したがって、該当するのは「ウ」です。
テクノロジ系 > 技術要素 > セキュリティ
DoS攻撃はサーバやネットワークに負荷をかけてサービスを利用しにくくする攻撃です。HTML形式メールの表示機能を悪用する攻撃ではありません。
SQLインジェクションは、Webアプリケーションの入力値がSQLとして処理されることを悪用し、データベースを不正操作する攻撃です。HTML形式メールの特徴を悪用するものではありません。
HTML形式メールはHTMLを解釈して表示するため、その表示機能を悪用して悪意のあるスクリプトなどを利用し、有害な処理の実行や不正なサイトへの誘導を狙うことがあります。
辞書攻撃は、辞書にある単語などの候補を使ってパスワードを推測する攻撃です。HTML形式メールの特徴を悪用するものではありません。