(IP)H30年秋 問60

オンラインバンキングにおいて, マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて, 攻撃者 の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。

 MITB (Man In The Browser)攻撃

 SQL インジェクション

 ソーシャルエンジニアリング

 ブルートフォース攻撃

解説を読む

正解:ア

解説:
オンラインバンキング(インターネットを利用した銀行取引)ではログインによる本人確認、および送金時にワンタイムパスワードを使用するなどの安全対策が施されていますが、MITB攻撃ではマルウェア(プロキシ型トロイの木馬)がブラウザの入力内容を監視し、送金時に送金口座を書き換えるなどの手段で指定の口座に振り込みをさせます。被害者本人は正常に振り込み操作が完了(被害者の本来の振込先に振り込んだ)と思っているため被害にあったことに気付くのが遅れることも多いとされます。

ア.正解です。上記解説もご参照ください。

イ.SQLインジェクションはデータベース操作言語であるSQLを使い本来表示されないデータなどを表示させたり内容を盗み見たりする際に利用されます。たとえば多くのブログは記事の管理にデータベースを利用しているので検索窓にSQLを入力してデータ操作を行う場合などが想定されます。対策としては特別な意味を持つ記号(シングルクォーテーション等)を通常の文字として解釈するような仕組み(エスケープ処理)が有効とされます。

ウ.ソーシャルエンジニアリングは人の心の隙をついて重要な情報を盗み出す行為の総称です。パスワードを入力している様子をのぞき見してパスワードを盗むショルダーハッキング、ごみ箱に捨てられた書類から重要情報を探すトラッシングなどがあります。対策として人の心理に根付く攻撃なので情報を扱う人の意識付けを行う教育が必要とされます。

エ.ブルートフォース攻撃は総当たり攻撃とも呼ばれパスワードを手当たり次第に入力して破る方法です。パスワード入力回数の制限などが対策として有効です。似たような攻撃によくパスワードで利用される語句(辞書)を利用してパスワードを破る辞書攻撃があります。

解説を閉じる

コメント