[情報セキュリティマネジメント試験]Web攻撃[例題付き!]

セキュリティ

今回は情報セキュリティマネジメント試験で問われるWeb攻撃について学習します。

くろん
くろん
Web攻撃ってなんだニャ?
モナ
モナ
Webサイトが改ざんされたり怪しいサイトを作ってユーザを騙すことだニャ

Web攻撃とは

Web攻撃はWebサイトをはじめとして、これらのWeb上のコンテンツを改ざんし、普段利用しているユーザを騙すことで個人情報を入手したり料金を請求したりといった内容になります。

Web攻撃の種類

Web攻撃にはいくつか種類があるので1つずつ見ていきましょう。

フィッシング

フィッシングは有名な企業だったり機関だったりを装って偽のメールを送り付け、偽のWebサイトに誘導して個人情報などを入力させる攻撃です。

騙した餌で釣り上げることからフィッシングと言います。

カズ
カズ
そして偽のメールをフィッシングメールって言うよ!

例えば「あなたのパスワードが流失しています。以下のURL(https://nise.com)にアクセスしてパスワードを設定しなおしてください」等の文言でユーザを不安にさせてURLをクリックさせ偽サイトに誘導します。

ファーミング

ファーミングはフィッシングから進化したもので、システム設定ファイルを改ざんすることでWeb閲覧者が正しいドメインを入力しても偽のWebサイトに誘導されてしまいます。

キュー
キュー
ファーミングは種をまいて収穫を待つ農業が由来やで

ワンクリック詐欺

ワンクリック詐欺はWebサイトにアクセスし何かをクリックしただけで料金請求のページに誘導される手口です。

出会い系サイトやアダルト系サイトに多く、強制的に加入しつつも相談しにくいことから料金を支払ってしまったり、記載されている電話番号に電話をしてしまい個人情報が筒抜けになってしまう被害につながります。

ラク
ラク
男なら誰でも1度は引っ掛かったことあるよな?な?
キュー
キュー
引っかかっても電話番号にかけなければ問題ないで

クリックジャッキング

クリックジャッキングはWebサイトの閲覧者を視覚的に騙し、一見問題のなさそうなWebページをクリックさせることで閲覧者が意図しない操作をさせる攻撃です。

例えばWebサイト上の非公開の個人情報を公開させたり、意図しない登録をさせたりです。

技術的な側面としてはWebページの透明度を変更する機能と、Webページを複数重ね合わせる機能を悪用して実装しています。

Web攻撃への対策

主なWeb攻撃への対策は以下の3点です。

  • 不要なメールは開かない
  • 怪しいURLをクリックしない
  • 料金請求等は無視する

Web攻撃における重要語句

以下は試験でも良く問われる語句です。あわせて押さえておきましょう。

  • SEOポイズニング・・・Googleやbingといった検索エンジン上で上位に偽サイトを表示させ、マルウェアに感染させます。例えば「しかくのいろは」にそっくりな偽サイトを作成しそのワードで検索上位に来れば、当サイトと勘違いしてログインを試みて個人情報がばれると言った仕組みです。
  • Webビーコン・・・Webサイトに1pxほどの小さな画像を埋め込み閲覧者の情報を収集する仕組みです。具体的には閲覧時刻・IPアドレス・プロバイダ・クッキーなどの情報を収集できます。
  • スミッシング・・・携帯電話などのSMSを利用してフィッシングサイトへ誘導します。
  • ドライブバイダウンロード・・・Webサイトを閲覧しただけでマルウェアを閲覧者にダウンロードさせる仕組みです。WebブラウザやOSの脆弱性によって引き起こされます。
スポンサーリンク

Web攻撃・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

クリックジャッキング攻撃に該当するものはどれか。(H.28/春)

ア Webアプリケーションの脆弱性を悪用し,Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって,利用者のブラウザのキャッシュを偽造する。
イ WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し,WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
ウ Webブラウザのタブ表示機能を利用し,Webブラウザの非活性なタブの中身を,利用者が気づかないうちに偽ログインページに書き換えて,それを操作させる。
エ 利用者のWebブラウザの設定を変更することによって,利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。

問2

ドライブバイダウンロード攻撃に該当するものはどれか。(H.30/春)

ア PC内のマルウェアを遠隔操作して,PCのハードディスクドライブを丸ごと暗号化する。
イ 外部ネットワークからファイアウォールの設定の誤りを突いて侵入し,内部ネットワークにあるサーバのシステムドライブにルートキットを仕掛ける。
ウ 公開Webサイトにおいて,スクリプトをWebページ中の入力フィールドに入力し,Webサーバがアクセスするデータベース内のデータを不正にダウンロードする。
エ 利用者が公開Webサイトを閲覧したときに,その利用者の意図にかかわらず,PCにマルウェアをダウンロードさせて感染させる。

解説(クリックで展開)

Web攻撃・まとめ

今回はWeb攻撃について学習しました。

攻撃手法の中ではよく問われる部類なので、しっかりと対策をしておきましょう。

カズ
カズ
もちろん、対策方法も併せて押さえておこう!

次回はスクリプト攻撃について学習します。


スポンサーリンク