HOME»ITパスポート令和2年秋期»問56
ITパスポート令和2年秋期 問56
問56
HTML形式の電子メールの特徴を悪用する攻撃はどれか。
- DoS攻撃
- SQLインジェクション
- 悪意のあるスクリプトの実行
- 辞書攻撃
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
ウ
解説
HTML形式のメールはHTML(HyperText Markup Language)で記述されているので、Webページと同じように文字の装飾やレイアウト、画像の挿入などを自由自在に行うことができます。Webページと同じようにスクリプトを記述することもできるので、攻撃者が悪意のあるスクリプトを挿入する余地があり、メールを開くと同時にHTML中のスクリプトが自動実行されることにより被害を受ける可能性があります。
したがって、HTML形式の電子メールの特徴を悪用する攻撃に該当するのは「ウ」です。
以前はHTMLメールによる被害は比較的多く、それを受けてHTMLメールが忌避されたことにより、攻撃者がHTMLメールを使う機会も減っていったという経緯があります。しかし、最近はHTMLに対する危険意識が薄まり、メールマガジンや企業からのメールでもHTMLメールが使用されるケースが増えてきているので、攻撃に使用されることも多くなるでしょう。ここで再度HTMLメールの危険性について認識する必要があると言えます。ただし、多くのメールクライアントではスクリプトの自動実行がデフォルトで無効化されているので、スクリプトが自動実行されるのは限定的な場面です。
したがって、HTML形式の電子メールの特徴を悪用する攻撃に該当するのは「ウ」です。
以前はHTMLメールによる被害は比較的多く、それを受けてHTMLメールが忌避されたことにより、攻撃者がHTMLメールを使う機会も減っていったという経緯があります。しかし、最近はHTMLに対する危険意識が薄まり、メールマガジンや企業からのメールでもHTMLメールが使用されるケースが増えてきているので、攻撃に使用されることも多くなるでしょう。ここで再度HTMLメールの危険性について認識する必要があると言えます。ただし、多くのメールクライアントではスクリプトの自動実行がデフォルトで無効化されているので、スクリプトが自動実行されるのは限定的な場面です。
- DoS攻撃は、サーバに大量のサービス要求を送りつけることで、サーバを高負荷状態にして通常のサービス提供を不可能にする攻撃法です。
- SQLインジェクションは、Webアプリケーションへの入力データとしてデータベースへの命令文を構成する文字を与え、想定外のSQL文を意図的に実行させてデータベースを攻撃する行為です。
- 正しい。
- 辞書攻撃は、辞書に載っている英単語や、よく使われることが多い文字列などパスワードに使われそうな文字列が大量に登録されたファイル(辞書ファイル)を用意して、それを1つずつ試していくことでパスワードを破ろうとする攻撃手法です。