ITパスポートの過去問
平成30年度 秋期
テクノロジ系 問60

パソコン内のマルウェアによってブラウザとサーバ間の送受信をブラウザベースで盗聴および改ざんする攻撃を、MITB攻撃といいます。
利用者とサーバの間のブラウザを乗っ取るのことから、MITB(Man In The Browser)と呼ばれます。


1. 「MITB攻撃」の方法ですので、正解です。

2. 「SQLインジェクション」は、WEBシステムなどで、本来想定されていないSQL文を入力して実行させることにより、データベースシステムを不正に操作する攻撃方法のことなので、誤りです。

3. 「ソーシャルエンジニアリング」は、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、人の心理的な隙や行動のミスにつけ込み、特定の行動を相手にとらせて盗み出す手法のことですので、誤りです。

4. 「ブルートフォース攻撃」は、ユーザのアカウント・パスワードを解読するため、可能な組合せを全て試す攻撃で、総当たり攻撃やブルートフォースアタックとも言います。よって誤りです。

マルウェアなどでブラウザを乗っ取って不正行為をするのは、MITB攻撃です。
よって、正解は１です。

他の選択肢も押さえておきましょう。

２．SQLインジェクションとは、Webアプリケーションの入力値にSQLとして意味のある文字列を指定することで、アプリケーションが意図しないSQLを実行することです。

３．ソーシャルエンジニアリングとは、相手が信じやすい文章や手法を用いて、パスワードなどの情報を聞き出すことです。

４．ブルートフォース攻撃とは、総当たりで文字列の組み合わせを入力して、不正にログインする手法です。

MITB(Man In The Browser)攻撃とは、マルウェアなどでブラウザを乗っ取り、不正操作を行うことです。
よって、1が正解です。

SQLインジェクションとは、意図しないSQLを実行し、データベースの不正操作を行うことです。
よって、2は不正解です。

ソーシャルエンジニアリングとは、相手を信頼させるような行動をすることでパスワードなどの情報を聞き出し盗み出す手法のことです。
よって、3は不正解です。

ブルートフォース攻撃とは、あらゆる可能性の文字の組み合わせを入力し不正ログインを行うことです。
よって、4は不正解です。