基本情報技術者試験 ap-2017h29h-a 午前 問44: 攻撃に HTTP over TLS（HTTPS）が使われた場合に起こり得ることはどれか。

問題本文

攻撃に HTTP over TLS（HTTPS）が使われた場合に起こり得ることはどれか。

選択肢

• ア.HTTPS を使った SQL インジェクション攻撃を受けると，Web アプリケーションでデータベースへの不正な入力をチェックできないので，悪意のある SQL が実行されてしまう。
• イ.HTTPS を使ったクロスサイトスクリプティング攻撃を受けると，Web ブラウザでプログラムやスクリプトを実行しない設定にしても実行を禁止できなくなるので，悪意のある Web サイトからダウンロードされたプログラムやスクリプトが実行されてしまう。
• ウ.HTTPS を使ったブルートフォース攻撃を受けると，ログイン試行のチェックができないので，Web アプリケーションでアカウントロックなどの対策が実行できなくなってしまう。
• エ.攻撃者が社内ネットワークに仕掛けたマルウェアによって HTTPS が使われると，通信内容がチェックできないので，秘密情報が社外に送信されてしまう。

正解

エ. 攻撃者が社内ネットワークに仕掛けたマルウェアによって HTTPS が使われると，通信内容がチェックできないので，秘密情報が社外に送信されてしまう。

解説

HTTPS(HTTP over TLS)は通信内容を暗号化するため，経路の途中にいる第三者(ファイアウォールやプロキシ，IDS/IPSなど)が中身を読めなくなる。この“中身が見えない”性質を攻撃に悪用されると問題が起こる。マルウェアが HTTPS で外部と通信すると，社内の監視機器が通信内容を検査できず，秘密情報の外部送信(情報漏えい)を見逃してしまう。これが暗号化ゆえに起こり得る事象なので，正解はエである。

選択肢ごとの解説

• ア.誤り。SQLインジェクションの入力チェックは復号後の Web アプリケーション側で行われる。通信が HTTPS でも復号後の値を検査できるので，暗号化が原因でチェックできなくなることはない。
• イ.誤り。スクリプトを実行するか否かはブラウザの設定で決まり，通信経路が暗号化されているかとは無関係である。HTTPS だから実行禁止が効かなくなるという因果は成立しない。
• ウ.誤り。ログイン試行回数のチェックやアカウントロックは復号後のサーバ側アプリケーションで行う。HTTPS でも到達したリクエストは数えられるので，対策は機能する。
• エ.正しい。マルウェアが HTTPS で外部と通信すると，経路上の監視機器は暗号化された中身を検査できず，秘密情報の外部送信を検知・阻止できない。暗号化の悪用の典型例である。