第22問
情報システムに対するセキュリティ攻撃は、クライアントPC を標的にしたもの とサーバコンピュータを標的にしたものがある。セキュリティ攻撃に関する記述と して最も適切なものはどれか。
- ア ガンブラーは詐取したID やパスワードを使って信用のあるウェブサイトを書 き換え、ここにアクセスしたユーザのクライアントPC を、このウェブサイトで
- イ ィルスに感染させる。
- ウ ロスサイトスクリプティングは、不正なスクリプトを埋め込んだウェブペー ジにアクセスしたクライアントPC が、動的に生成される標的ウェブページにア
- エ セスしたときに、そのPC のCookie を詐取することがある。
- オ バッファオーバーフローは、偽装したウェブページにアクセスしたクライアン トPC に、多量のデータを送りつけ、バッファ溢れを生じさせて管理者権限を奪 取するものである。
- ワンクリック詐欺は、だますことを目的にしたウェブページにアクセスしたク ライアントPC に不正に侵入し、記録されている重要情報を流出させて、それで 詐欺を行うものである。 ― 17― ◇M6(688―149)
▼ 解答・解説を見る
正解:イ
解答:イ
〔セキュリティ攻撃の手口を問う問題〕(選択肢ア=ガンブラー、イ=クロスサイトスクリプティング、ウ=バッファオーバーフロー、エ=ワンクリック詐欺)
- ア(×):ガンブラーは、詐取したFTPのID・パスワードで正規サイトを改ざんし、不正な誘導コードを仕込んで、閲覧者を悪質サイトへ飛ばしマルウェア感染させる攻撃。記述には不正確な点があり最適でない。
- イ(○):クロスサイトスクリプティング(XSS)は、不正なスクリプトを埋め込んだページにアクセスした利用者のブラウザ上で、動的生成される標的ページを通じてスクリプトが実行され、Cookie(セッション情報など)を詐取されることがある。XSSの説明として正しい。
- ウ(×):バッファオーバーフローは、プログラムが確保したバッファの容量を超えるデータを送り込み、領域外を上書きして不正なコードを実行させる攻撃。主にサーバ側プログラムの脆弱性を突くもので、「偽装ページにアクセスしたクライアントPCに送りつける」という説明は不正確。
- エ(×):ワンクリック詐欺は、クリックしただけで契約成立等と称し金銭を請求してだます手口。PCに不正侵入して重要情報を流出させるものではない。
よって イ。