▼FE平成28年度春期:問38 スパイウェアに該当するものはどれか。
ア Webサイトへの不正な入力を排除するために、Webサイトの入力フォームの入力データから、HTMLタグ、JavaScript、SQL文などを検出し、それらを他の文字列に置き換えるプログラム
イ サーバへの侵入口となる得る脆(ぜい)弱なポートを探すために、攻撃者のPCからサーバのTCPポートに順番にアクセスするプログラム
ウ 利用者の意図に反してPCにインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム
エ 利用者のパスワードを調べるために、サーバにアクセスし、辞書に載っている単語を総当たりで試すプログラム
▼上に出てきた用語の意味
【スパイウェア Spyware】ユーザーに関する情報を収集し、それを情報収集者である特定の企業・団体・個人等に自動的に送信するソフトウェア。(Wikipedia)
有害なソフトウェアの一種で、利用者の文字入力内容やWebアクセス履歴などのデータを気付かれないようこっそり収集し、インターネットを通じて開発元などに送信するソフトウェア。(IT用語辞典 e-Words)
【サニタイジング sanitizing】利用者が入力した文字データを受け取る際に、プログラムにとって特別な意味を持つ可能性のある文字や文字列を検知して、一定の規則に従って別の表記に置き換えること。例:HTMLタグやJavaScript、SQL文やそれらが使用する区切り記号などを検出して、同じ意味の別の表記に書き換えるエスケープ処理を行う。(IT用語辞典 e-Words)
【ポートスキャン port scan】対象のコンピュータのTCPあるいはUDPのポートに接続を試み、機能停止や侵入などの攻撃に使えそうな保安上の弱点がないか調べること。特に、多数あるいはすべてのポートに次々に連続的にアクセスし、各ポートの状態を網羅的に調べあげること。(IT用語辞典 e-Words)
【パスワードクラック password crack】コンピュータの利用者が本人確認に用いる秘密の文字列(パスワード)を探り当てること。得られたパスワードにより本人になりすましてコンピュータを利用し、不正に操作することができるようになる。例:総当たり法 brute force attack:ブルートフォース攻撃(IT用語辞典 e-Words)
▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼FEのシラバスでの位置付け
1.情報セキュリティ >(3)脅威 >② マルウェア・不正プログラム:マルウェア・不正プログラムの種類とその振る舞いのあらましを理解する。
〔用語例〕コンピュータウイルス、マクロウイルス、ワーム、ボット(ボットネット、遠隔操作型ウイルス、C&C サーバ)、トロイの木馬、スパイウェア、ランサムウェア、キーロガー、ルートキット、バックドア、偽セキュリティ対策ソフト
(7)攻撃手法:情報システム、組織及び個人への不正な行為と手法を理解する。
〔用語例〕 ・攻撃の準備(フットプリンティング、ポートスキャンほか)
解答ウ