令和3年秋期試験問題 午前問44

オープンリダイレクトを悪用した攻撃に該当するものはどれか。

  • HTMLメールのリンクを悪用し,HTMLメールに,正規のWebサイトとは異なる偽のWebサイトのURLをリンク先に指定し,利用者がリンクをクリックすることによって,偽のWebサイトに誘導する。
  • Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し,攻撃者が指定した偽のWebサイトに誘導する。
  • インターネット上の不特定多数のホストからDNSリクエストを受け付けて応答するDNSキャッシュサーバを悪用し,攻撃対象のWebサーバに大量のDNSのレスポンスを送り付け,リソースを枯渇させる。
  • 設定の不備によって,正規の利用者以外からの電子メールやWebサイトへのアクセス要求を受け付けるプロキシを悪用し,送信元を偽った迷惑メールの送信を行う。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ
解説
オープンリダイレクトは、URLパラメータやフォームデータなどの外部パラメータによって指定されたWebページに遷移するようにしているWebアプリケーションが、実装不備により、無制限にURLを受け入れてしまう状態です。攻撃者がこの脆弱性を悪用することで、利用者は、気付かないうちに信頼できるWebサイトから悪意のあるWebサイトに誘導されてしまい、誘導した先でフィッシングなどの被害に遭う危険があります。
  • 標的型攻撃メールやフィッシングの例です。
    HTMLでは、表示上のURLと実際のリンク先URLを異なるものにすることができるのを悪用した攻撃です。
    例)https://www.ap-siken.com/ は、当サイトのトップページのURLですがITパスポート試験ドットコムに遷移します。
  • 正しい。オープンリダイレクトを利用した攻撃です。
  • DNSアンプ攻撃(DNSリフレクタ攻撃)です。
  • 踏み台攻撃の説明です。

Pagetop