問題本文
オンラインバンキングにおいて,マルウェアなどでブラウザを乗っ取り,正式な取引画面の間に不正な画面を介在させ,振込先の情報を不正に書き換えて,攻撃者の指定した口座に送金させるなどの不正操作を行うことを何と呼ぶか。
選択肢
- ア.MITB(Man In The Browser)攻撃
- イ.SQLインジェクション
- ウ.ソーシャルエンジニアリング
- エ.ブルートフォース攻撃
正解
ア. MITB(Man In The Browser)攻撃
解説
MITB(Man In The Browser)攻撃はマルウェアがWebブラウザを乗っ取り、ユーザーが正規のサイトで操作している間に画面上の表示と実際にサーバへ送信するデータを改ざんする攻撃。ユーザーには正常な取引に見えるが実際には振込先口座・金額等が書き換えられたデータがサーバに送信される。オンラインバンキング詐欺の典型的な手口。SSL/TLS暗号化通信でも防御できない点がMITM(中間者攻撃)と異なる特徴であり、ブラウザ内での改ざんがポイントとなる。
選択肢ごとの解説
- ア.正解。MITB(Man In The Browser)攻撃はブラウザを乗っ取るマルウェアを使い、ユーザーの正規操作とサーバ間の通信内容(振込先口座・金額等)を改ざんする攻撃手法。ユーザーは正常な操作をしたつもりでも実際には別口座に振り込まれるなどの被害を受ける。正規サイトへのアクセス中でも被害が生じる点が特徴。
- イ.誤り。SQLインジェクションはWebアプリケーションの入力フォームに悪意のあるSQL文を注入しデータベースを不正操作する攻撃。情報漏洩・データ改ざん・認証回避が主な被害であり、ブラウザ機能を乗っ取って取引内容をリアルタイムに書き換えるMITB攻撃とは全く異なる攻撃手法である。
- ウ.誤り。ソーシャルエンジニアリングは技術的な不正侵入ではなく人間の心理的・社会的な隙を突き(電話・なりすまし・フィッシングメール等)機密情報を入手する攻撃手法。人間の錯誤・信頼を悪用するアプローチであり、マルウェアによるブラウザへの技術的攻撃であるMITBとは異なる手法である。
- エ.誤り。ブルートフォース(Brute Force)攻撃はパスワードを総当たり(全文字組合せを試行)で解析する攻撃。認証突破に使われる手法であり、ログイン後のブラウザ内でのリアルタイム取引改ざんを行うMITB攻撃とは全く異なる攻撃の目的・手法・段階である。
ITパスポート 2018年 (平成30年 秋期) の過去問一覧へ戻る・問60