ITパスポートの過去問
令和5年度
テクノロジ系 問3

このページは閲覧用ページです。
履歴を残すには、 「新しく出題する(ここをクリック)」 をご利用ください。

問題

令和5年度 ITパスポート試験 テクノロジ系 問3 (訂正依頼・報告はこちら)

Webサイトなどに不正なソフトウェアを潜ませておき、PCやスマートフォンなどのWebブラウザからこのサイトにアクセスしたとき、利用者が気付かないうちにWebブラウザなどの脆(ぜい)弱性を突いてマルウェアを送り込む攻撃はどれか。

次の問題へ

正解!素晴らしいです

残念...

この過去問の解説 (3件)

01

ウェブサイトにアクセスすると、マルウェアなどをユーザーが気づかないままダウンロードさせる攻撃のことをドライブバイダウンロード(Drive by Download)と言います。OSやソフトの脆弱性につけこんだ攻撃です。

選択肢1. DDoS攻撃

DDoS攻撃とは、たくさんのコンピュータから標的に向かって大量のデータを送り込んだりアクセスすることにより、標的を過負荷状態にしてサービス提供できなくする攻撃です。

よって本選択肢の内容は誤りです。

選択肢2. SQLインジェクション

SQLインジェクションとは、WebアプリなどのSQLに不正な文字列などを挿入し、不正な稼働をさせる攻撃のことです。なお、インジェクション(injection)とは「注入」という意味です。

よって本選択肢の内容は誤りです。

選択肢3. ドライブバイダウンロード

ドライブバイダウンロードとは、ウェブサイトにアクセスすると、マルウェアなどをユーザーが気づかないままダウンロードさせる攻撃のことです。

よって本選択肢の内容は正しいです。

選択肢4. フィッシング攻撃

フィッシング攻撃とは、個人情報を不正に取得することなどを目的として、実存する企業を装い悪意あるページへアクセスさせる攻撃です。

よって本選択肢の内容は誤りです。

まとめ

情報セキュリティを脅かす攻撃には様々あります。何を目的に、どのような攻撃があるのかを適切に覚えるようにしましょう。

参考になった数12

02

セキュリティに関する語句についての問題です。

それぞれの選択肢の意味をきちんと理解しているかが正答率を向上させるカギとなります。

選択肢1. DDoS攻撃

誤りです。

サーバに大量のデータを送り付けて機能停止に追い込むことを「DoS攻撃」といい、それを複数人で行うことが「DDoS攻撃」です。

選択肢2. SQLインジェクション

誤りです。

ユーザからの入力をもとにSQL文が組み立てられる仕組みを利用して、システムを不正に操作するSQL文を作成させて情報の不正取得やデータベースの破壊を行うのが「SQLインジェクション」です。

選択肢3. ドライブバイダウンロード

正解です。

選択肢4. フィッシング攻撃

誤りです。

銀行や企業など特定の団体を装ったメールを送信し、メール内のハイパーリンクをクリックさせて悪意のWebサイトに誘導させて、サイト内の入力フォームから個人情報を不正取得するのが「フィッシング攻撃」です。

参考になった数2

03

利用者が気付かないうちにWebブラウザを介してマルウェアを送り込む攻撃手法をドライブバイダウンロードといいます

脆弱性のあるサイトでは閲覧をしただけで感染してしまう場合があります

選択肢1. DDoS攻撃

Webサイトが処理しきれないほどの大量データを送信することで、通信障害を発生させる攻撃手法です

選択肢2. SQLインジェクション

SQLコマンドを不正に書き換えることでデータの改ざんや不正取得を狙う攻撃手法です

選択肢3. ドライブバイダウンロード

記述の通りです

選択肢4. フィッシング攻撃

送信元を装ったメールなどをターゲットに送りつけることで不正なサイトへ誘導し、クレジットカードの暗証番号などを盗み取る手法です

参考になった数2