• 電気通信大学、プログラミング教室、東京都調布市

▼IP令和2年度10月分:問58 受信した電子メールに添付されていた文書ファイルを開いたところ、PCの挙動がおかしくなった。疑われる攻撃として、適切なものはどれか。

ア SQLインジェクション
イ クロスサイトスクリプティング
ウ ショルダーハッキング
エ マクロウィルス

▼上に出てきた用語の意味
【SQLインジェクション SQL Injection】アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法。(Wikipedia)

【クロスサイトスクリプティング  XSS:Cross Site Scripting】SNSやECサイトのように閲覧者が送信したデータを表示する機能を含むWebサイトの欠陥を悪用して、攻撃者が用意した悪意のあるスクリプトを閲覧者に送り込んで実行させる攻撃手法。サイトをまたいでスクリプトが移転・実行されることが「クロスサイト」の名称の由来。(IT用語辞典 e-Words)

【ショルダーハッキング shoulder hacking】人がパスワードや暗証番号など秘密の情報を機器に入力する様子を盗み見て、情報を不正に入手すること。ソーシャルエンジニアリング(social engineering)の手口の一つ。(IT用語辞典 e-Words)

【マクロウィルス macro virus】文書ファイルなどに埋め込まれた「マクロ」と呼ばれる簡易プログラムの仕組みを悪用したコンピュータウイルス。マクロ機能が有効になっていれば文書ファイルを開いただけで感染するため、電子メールの添付ファイルなどを通じて感染を広げやすい。(IT用語辞典 e-Words)

▼今回の問いとFEのシラバスの関連を赤の★印、既出は橙色の★印で示しました。

表の出所 FEのシラバスから筆者が作成。

▼IPのシラバスでの位置付け
61. 情報セキュリティ >(3) 脅威と脆弱性 >① 人的脅威の種類と特徴
〔用語例〕漏えい、紛失、破損、盗み見、盗聴、なりすまし、クラッキング、ソーシャルエンジニアリング、内部不正、誤操作、ビジネスメール詐欺(BEC)、ダークウェブ

61. 情報セキュリティ >(3) 脅威と脆弱性 >② 技術的脅威の種類と特徴
〔用語例〕マルウェア(コンピュータウイルス、ボット、スパイウェア、ランサムウェア)、ワーム、トロイの木馬、RAT、マクロウイルス、ガンブラー、キーロガー、バックドア、ファイル交換ソフトウェア、SPAM

61. 情報セキュリティ >(4) 攻撃手法
〔用語例〕クロスサイトスクリプティング、SQL インジェクション

▼比較:FEのシラバスでの位置付け
1.情報セキュリティ >(3)脅威 >① 脅威の種類
〔用語例〕ソーシャルエンジニアリング

1.情報セキュリティ >(3)脅威 >② マルウェア・不正プログラム
〔用語例〕マクロウイルス

1.情報セキュリティ >(7)攻撃手法
〔用語例〕クロスサイトスクリプティング、SQL インジェクション
解答エ