問題
問27
Webサイトにおいて、利用者の入力データに悪意のあるスクリプトが混入され、それが他の利用者のWebブラウザで実行されてしまう攻撃を何と呼ぶか。
- クロスサイトスクリプティング
- SQLインジェクション
- ディレクトリトラバーサル
- バッファオーバーフロー
正解
正解は「ア」です。
解説
正解は「ア」のクロスサイトスクリプティング(XSS)です。クロスサイトスクリプティングは、Webアプリケーションの脆弱性を利用した攻撃手法の一つで、攻撃者が悪意のあるスクリプト(簡易的なプログラム)をWebサイトに埋め込み、それを閲覧した他の利用者のブラウザ上で実行させるものです。
例えば、Webサイトの掲示板に、攻撃者が悪意のあるスクリプトを含んだ書き込みをします。他の利用者がその書き込みを閲覧すると、スクリプトがその利用者のブラウザで実行されてしまい、偽のログイン画面を表示してIDやパスワードを盗んだり、Cookie情報を窃取したりすることが可能になります。掲示板の伝言が、実は他の人への罠になっている、というイメージです。問題文の「入力データに悪意のあるスクリプトが混入」「他の利用者のWebブラウザで実行」という説明が、この攻撃の特徴を正確に捉えています。
イ(SQLインジェクション):
Webアプリケーションの入力フォームに不正なSQL文を注入(インジェクション)し、データベースを不正に操作する攻撃です。
ウ(ディレクトリトラバーサル):
ファイルパスを不正に操作して、本来アクセスが許可されていないディレクトリやファイルにアクセスする攻撃です。
エ(バッファオーバーフロー):
プログラムが確保したメモリ領域(バッファ)を超えるデータを送りつけ、誤作動や不正なコードの実行を狙う攻撃です。
解法のポイント
Webアプリケーションの脆弱性を突く攻撃は、基本情報技術者試験で頻出のテーマです。それぞれの攻撃が「何を」「どこに」対して行われるのかを明確に区別することが重要です。
- クロスサイトスクリプティング:利用者のブラウザが攻撃対象
- SQLインジェクション:データベースが攻撃対象
- ディレクトリトラバーサル:サーバ上のファイルが攻撃対象
- バッファオーバーフロー:プログラムのメモリが攻撃対象
このように攻撃対象とセットで覚えることで、混同を防ぐことができます。
用語補足
クロスサイトスクリプティング (XSS):
Webサイトを介して、利用者のブラウザで悪意のあるスクリプトを実行させる攻撃です。公園の伝言板に、見た人を騙すような内容を書き込む行為に似ています。
スクリプト:
比較的簡単な処理を記述するために用いられる簡易的なプログラムのことです。Webページに動きをつけたり、定型的な作業を自動化したりするのによく使われます。
SQLインジェクション:
データベースへの命令文(SQL)を不正に注入(インジェクション)する攻撃です。自動販売機のお金を入れるところに偽の命令を送って、商品やお金をだまし取るようなイメージです。
脆弱性(ぜいじゃくせい):
プログラムの不具合や設計上のミスが原因で発生する、情報セキュリティ上の弱点のことです。家の鍵のかけ忘れや、窓の立て付けが悪いといったセキュリティホールのようなものです。
