基本情報技術者講座

★　猫本　8-03　サイバー攻撃(その3)　★

基本情報技術者　平成29年度秋期　問37

DNSキャッシュポイズニングに分類される攻撃内容はどれか。

ア	DNSサーバのソフトウェアのバージョン情報を入手して，DNSサーバのセキュリティホールを特定する。
イ	PCが参照するDNSサーバに偽のドメイン情報を注入して，利用者を偽装されたサーバに誘導する。
ウ	攻撃対象のサービスを妨害するために，攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
エ	内部情報を入手するために，DNSサーバが保存するゾーン情報をまとめて転送させる。

解説

(頭の準備体操)

DNSキャッシュポイズニング：DNSサーバに偽のドメイン情報を注入して，偽のサーバに誘導する。

よって，イである。

解答
イ

基本情報技術者　令和元年度秋期　問35・平成29年度春期　問36類似

攻撃者が用意したサーバXのIPアドレスが，A社WebサーバのFQDNに対応するIPアドレスとして，B社DNSキャッシュサーバに記憶された。これによって，意図せずサーバXに誘導されてしまう利用者はどれか。ここで，A社，B社の各従業員は自社のDNSキャッシュサーバを利用して名前解決を行う。

解説

(頭の準備体操)

DNS：IPアドレス←(対応付け)→ドメイン名／ホスト名

(イメージから解く)

「A社，B社の各従業員は自社のDNSキャッシュサーバを利用して名前解決を行う。」ことから，B社従業員はB社のDNSキャッシュサーバを利用して名前解決を行う。

よって，イである。

解答
イ

基本情報技術者　平成29年度春期　問37

ディレクトリトラバーサル攻撃に該当するものはどれか。

ア	攻撃者が，Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し，管理者の意図していないSQL文を実行させる。
イ	攻撃者が，パス名を使ってファイルを指定し，管理者の意図していないファイルを不正に閲覧する。
ウ	攻撃者が，利用者をWebサイトに誘導した上で，WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し，利用者のWebブラウザで悪意のあるスクリプトを実行させる。
エ	セッションIDによってセッションが管理されるとき，攻撃者がログイン中の利用者のセッションIDを不正に取得し，その利用者になりすましてサーバにアクセスする。

解説

(頭の準備体操)

ディレクトリトラバーサル攻撃：ディレクトリを横断し，本来アクセスが許可されていないファイルにアクセスする攻撃

解答
イ

基本情報技術者　令和元年度秋期　問41・平成28年度春期　問36類似

検索サイトの検索結果の上位に悪意のあるサイトが表示されるように細工する攻撃の名称はどれか。

解説

(頭の準備体操)

SEOポイズニング：Web検索サイトの検索結果で，悪意のあるWebサイトが上位に表示されるようにする。

ア	「PCが参照するDNSサーバに偽のドメイン情報を注入して，利用者を偽装されたサーバに誘導する。」(FE29.2.37)
イ	「Web検索サイトの順位付けアルゴリズムを悪用して，検索結果の上位に，悪意のあるWebサイトを意図的に表示させる。」(AP02.2.39)
ウ	「訪問者の入力データをそのまま画面に表示するWebサイトに対して，悪意のあるスクリプトを埋め込んだ入力データを送ることによって，訪問者のブラウザで実行させる攻撃」(FE29.2.39)
エ	「人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法」(IP29.2.65)

解答
イ

基本情報技術者　平成30年度春期　問36

ドライブバイダウンロード攻撃に該当するものはどれか。

ア	PC内のマルウェアを遠隔操作して，PCのハードディスクドライブを丸ごと暗号化する。
イ	外部ネットワークからファイアウォールの設定の誤りを突いて侵入し，内部ネットワークにあるサーバのシステムドライブにルートキットを仕掛ける。
ウ	公開Webサイトにおいて，スクリプトをWebページ中の入力フィールドに入力し，Webサーバがアクセスするデータベース内のデータを不正にダウンロードする。
エ	利用者が公開Webサイトを閲覧したときに，その利用者の意図にかかわらず，PCにマルウェアをダウンロードさせて感染させる。

解説

(頭の準備体操)

ドライブバイダウンロード攻撃：利用者がWebサイトを閲覧したときに，利用者に気づかれないようにマルウェアをダウンロードさせて感染させる。

解答