平成30年秋期試験問題 問60
問60解説へ
オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて,攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。
- MITB(Man In The Browser)攻撃
- SQLインジェクション
- ソーシャルエンジニアリング
- ブルートフォース攻撃
広告
解説
MITB(Man In The Browser)攻撃は、ユーザーPC内のマルウェアなどによりWebブラウザとWebサーバ間の送受信をブラウザベースで盗聴・改ざんする攻撃です。利用者とWebサーバの間のブラウザを乗っ取るのでMITB(Man In The Browser)と呼ばれます。
MITBの被害としては、インターネットバンキングへのログインを検知して、セッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金するなどの例があります。同じく送受信を改ざんするMan-in-the-Middle攻撃(中間者攻撃)と異なりクライアント内で書換えが行われるため、Webサーバ側で不正処理を拒否することが難しいという特徴があります。
MITBの被害としては、インターネットバンキングへのログインを検知して、セッションを乗っ取り、振込先口座番号を差し替えることで預金を不正送金するなどの例があります。同じく送受信を改ざんするMan-in-the-Middle攻撃(中間者攻撃)と異なりクライアント内で書換えが行われるため、Webサーバ側で不正処理を拒否することが難しいという特徴があります。
- 正しい。MITB(Man In The Browser)攻撃はブラウザを乗っ取り、通信データを書き換える攻撃です。
- SQLインジェクションは、Webアプリケーションの入力データとしてデータベースへの命令文を構成する文字列を与えることで、Webアプリケーションが想定しないSQL文を意図的に実行させ、データベースを不正操作する攻撃です。
- ソーシャルエンジニアリングは、情報通信技術の方法を用いるのではなく、人のミスや心理的な隙に付け込むことでパスワードなどの秘密情報を不正に取得する方法の総称です。
- ブルートフォース攻撃は、特定の文字数および文字種で設定される可能性のある組合せのすべてを試すことで、不正ログインや暗号化鍵の特定を試みる攻撃手法です。
広告