合格.dev › 応用情報技術者試験 › 応用情報技術者試験 平成28年度春期 午前 › 問45 応用情報技術者試験 応用情報技術者試験 平成28年度春期 午前 問45: Man-in-the-Browser 攻撃に該当するものはどれか。 Man-in-the-Browser 攻撃に該当するものはどれか。
DNS サーバのキャッシュを不正に書き換えて,インターネットバンキングに見せかけた偽サイトを Web ブラウザに表示させる。
PC に侵入したマルウェアが,利用者のインターネットバンキングへのログインを検知して,Web ブラウザから送信される振込先などのデータを改ざんする。
インターネットバンキングから送信されたように見せかけた電子メールに偽サイトの URL を記載しておき,その偽サイトに接続させて,Web ブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。
インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ,Web ブラウザから入力された利用者 ID とパスワードを正規サイトに転送し,利用者になりすましてログインする。
77.48%
問題本文 Man-in-the-Browser 攻撃に該当するものはどれか。
選択肢 ア. DNS サーバのキャッシュを不正に書き換えて,インターネットバンキングに見せかけた偽サイトを Web ブラウザに表示させる。イ. PC に侵入したマルウェアが,利用者のインターネットバンキングへのログインを検知して,Web ブラウザから送信される振込先などのデータを改ざんする。ウ. インターネットバンキングから送信されたように見せかけた電子メールに偽サイトの URL を記載しておき,その偽サイトに接続させて,Web ブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。エ. インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ,Web ブラウザから入力された利用者 ID とパスワードを正規サイトに転送し,利用者になりすましてログインする。正解 イ. PC に侵入したマルウェアが,利用者のインターネットバンキングへのログインを検知して,Web ブラウザから送信される振込先などのデータを改ざんする。
解説 Man-in-the-Browser(MITB)攻撃の定義を問う問題。MITB は PC のブラウザ内部に潜んだマルウェアが、利用者と正規サイトの間で送信データそのものを横取り・改ざんする攻撃で、利用者が正しいサイトに正しくログインしていても振込先などを密かに書き換えられる。ブラウザの内側で送信データを改ざんするイが該当する。
選択肢ごとの解説 ア. DNSキャッシュを書き換えて偽サイトへ誘導するのはDNSキャッシュポイズニング(ファーミング)であり、MITBではない。イ. PC内のマルウェアがブラウザから送信される振込先データを改ざんするのはまさにMan-in-the-Browser攻撃であり正しい。ウ. 偽メールのURLから偽サイトへ誘導し情報を入力させるのはフィッシング攻撃の説明である。エ. 正規サイトを装った中継サイトでID・パスワードを転送しなりすますのは中間者(MITM)攻撃の説明であり、ブラウザ内部で改ざんするMITBとは異なる。応用情報技術者試験 平成28年度春期 午前 の過去問一覧 へ戻る・問45