書籍の内容を確認

単元
04
情報セキュリティ全般
Web サイト利用者への攻撃
・クロスサイトスクリプティングについて理解する
・クロスサイトリクエストフォージェリについて理解する
・Web サイト利用者に対する,その他の攻撃について理解する
クロスサイトスクリプティング(XSS:Cross Site Scripting)
悪意をもったスクリプトを,脆弱性のある標的サイト経由で利用者に送り,その標的
サイトにアクセスした利用者にスクリプトを実行させて,情報を盗み出す攻撃
脆弱性のある標的サイト
スクリプト
スクリプト
①
スクリプト
②
③
攻撃者
利用者
① 脆弱性のある標的サイトに,悪意をもったスクリプトを送り込む。
② 標的サイトにアクセスしてきた利用者に,スクリプトをダウンロードさせる。
③ スクリプトを実行させて,利用者の情報を送信させる。
クロスサイトリクエストフォージェリ(CSRF:Cross-Site Request Forgeries)
ある Web サイトにログインした状態で,罠のある別の Web サイトにアクセスした結果,
ログインしている Web サイトに悪意のある要求(リクエスト)が利用者の要求と偽って
(フォージェリ)送られ,実行される攻撃
① 罠のある Web サイトから,アクセスした利用者に悪意のある要求を送り込む。
② 利用者の要求と偽って,別の Web サイトに悪意のある要求を実行させる。
-20-
関連するその他の攻撃
1)クリックジャッキング
Web サイト上に特別な機能を仕掛けて,クリック操作によって利用者の意図しない
操作を実行させる攻撃
2)セッションハイジャック
正規のユーザが Web サイトなどと通信している最中に,セッション(特定利用者
間の一連の通信群)を乗っ取る攻撃
3)ドライブバイダウンロード
Web サイトの閲覧時に,ユーザの許可なしに不正プログラム(マルウェアなど)
をダウンロードさせる攻撃
4)ガンブラー
有名企業や公共機関の Web サイトを改ざんし,改ざんした Web サイトを閲覧した
利用者にコンピュータウイルスを感染させる攻撃
5)ブラウザハイジャック
Web サイトを閲覧するソフトウェア(ブラウザ)の設定の改変や,不正な機能の
追加によって,利用者の望まない動作を強制的に引き起こす悪質なソフトウェア
(ブラウザハイジャッカー)を送り込む攻撃
関連知識
攻撃者の種類
・愉快犯
世間を騒がせることを目的とする攻撃者(スクリプトキディなど)
・詐欺犯
相手を騙し,金銭などを奪取することを目的とする攻撃者
・故意犯
自身の行為が正当でないことを理解している攻撃者
・確信犯
自分の行動は正しいと信じて,ハクティビズム(社会/政治的な主義・主張
のもとにハッキング活動を行うこと)やサイバーテロリズム(インターネッ
トなどを利用した大規模な破壊活動)を行う攻撃者
※ハッキング:システムにアクセスして,構造解析や改変をする行為
(悪意のあるハッキングを“クラッキング”と区別する)
-21-
午前 対策
問1
クロスサイトスクリプティングに関する記述として,適切なものはどれか。
ア
Web サイトの運営者が意図しないスクリプトを含むデータであっても,利用者の
ブラウザに送ってしまう脆弱性を利用する。
イ Web ページの入力項目に OS の操作コマンドを埋め込んで Web サーバに送信し,
サーバを不正に操作する。
ウ 複数の Web サイトに対して,ログイン ID とパスワードを同じものに設定すると
いう利用者の習性を悪用する。
エ 利用者に有用なソフトウェアと見せかけて,悪意のあるソフトウェアをインスト
ールさせ,利用者のコンピュータに侵入する。
問2
クロスサイトリクエストフォージェリが攻撃対象とする利用者はどれか。
ア 自身の生年月日をパスワードに設定する利用者
イ 複数の Web サイトで同じパスワードを使っている利用者
ウ 不特定多数の人が使用するパソコンでパスワードを入力する利用者
エ 他の Web サイトに正当なパスワードでログインした状態の利用者
問3
サーバとクライアント間の正規の通信群を乗っ取ることで,正規のクライアントに
なりすまし,サーバ内のデータなどを盗み出す攻撃はどれか。
ア クリックジャッキング
イ セッションハイジャック
ウ ドライブバイダウンロード
エ ブラウザハイジャック
解説・解答 8ページ
-22-
午後 対策
問4
Webサイトのセキュリティに関する次の記述を読んで,設問1~3に答えよ。
N社は,インターネット上で日用雑貨品の会員制通信販売システム(以下,販売シ
ステムという)を運営する会社である。また,N社では,情報交換の場として,会員
以外の人でも利用できる掲示板システムを提供している。
図1は,販売システムに会員がログインした直後に表示されるトップ画面である。
この画面の右上にある“掲示板”をクリックすると,図2の掲示板システムに画面が
遷移するようにリンクが貼られている。
図1 販売システムのトップ画面
図2
掲示板システムの画面
-23-
ある日,会員情報が知らぬ間に書き換わっていたとのクレームが,複数の会員から
N社に寄せられた。情報システム部門で販売システムを調べたところ,クレームに該
当する登録情報の変更処理が確認された。
情報システム部門の責任者であるL部長は,セキュリティ事故が発生したと判断し
て,販売システムの利用を直ちに停止し,外部のセキュリティ専門会社の支援を受け
ながら対策をとることを指示した。
後日,外部のセキュリティ専門会社から,今回のセキュリティ事故に関する調査報
告書が届けられた。調査報告書に記載された内容は,次のとおりである。
〔セキュリティ事故の経過〕
(1) 問題の発生した会員(以下,会員Xという)は,販売システムのログイン画面で
自身のアカウント名とパスワードを入力した。
(2) 販売システムは,アカウント名とパスワードを確認してセッション ID を発行し,
cookie を利用して会員のブラウザに戻した。
(3) 会員Xは,販売システムのトップ画面で“掲示板”をクリックした。
(4) 掲示板システムは,掲示板の画面を表示した。
(5) 会員Xが,掲示板の特定のページを参照したときに,悪意のあるコードが自動的
に実行され,会員Xの登録情報を書き換える処理が行われた。
〔想定される原因〕
(1) 掲示板システムで投稿内容をページに出力する処理に問題があり,この問題を悪
用した<script>タグを用いた悪意のあるコードが,掲示板の特定のページに埋め
込まれた形跡があった。
(2) ログインした会員が,この悪意のあるコードが埋め込まれた掲示板のページを参
照すると,そのコードが自動的に実行され,会員の登録情報を書き換える処理が行
われるようになっていた。
今回のように,ログインした会員だけが,予期しない処理を実行させられてしまう
セキュリティ攻撃は
a
と呼ばれている。これは,現在の掲示板システムでは,
投稿内容をそのままブラウザに表示する脆弱性を悪用した攻撃である。この脆弱性を
悪用した攻撃には,利用者のブラウザで悪意のあるコードを実行させて利用者情報を
不正取得する
b
などもある。
L部長は,外部のセキュリティ専門会社の提言に従い,今回のセキュリティ攻撃の
根本的な原因を解消すべく,掲示板システムを改善することにした。
-24-
設問1 問題文中の
に入れる正しい答えを,解答群の中から選べ。
a,bに関する解答群
ア クリックジャッキング
イ クロスサイトスクリプティング
ウ クロスサイトリクエストフォージェリ
エ セッションハイジャック
オ ドライブバイダウンロード
設問2 L部長は,入力された文字列にエスケープ処理を適切に施してから,ブラウザ
に表示するように掲示板システムを改善することにした。エスケープ処理では,
HTML の特別な記号文字“<”
,
“>”
,“&”などを,それぞれ“<”
,“>”,
“&”といった別の表記方法に置き換える。この処理を行った場合,文字列
“<script>”はどのような文字列に置き換えられるか。正しい答えを,解答群
の中から選べ。
解答群
ア >script<
イ <script>
ウ >script<
エ <script>
設問3 L部長が,入力された文字列にエスケープ処理を施すように掲示板システムを
改善した理由は何か。解答群のうち,最も適切なものを選べ。
解答群
ア 悪意のあるコードが埋め込まれたページを削除するため
イ 悪意のあるコードが投稿された時点で検出するため
ウ 悪意のあるコードを投稿した人を特定するため
エ 悪意のあるコードをブラウザで実行させないため
解説・解答 9ページ
-25-