応用情報の問題についてこの問題の解説お願い

Writer: admin Type: このテヒョンのiPhone Date: 2018-12-15 00:00
応用情報の問題についてこの問題の解説お願いします。「午後問題平成30年度春問1セキュリティ」です。問題文を要約すると1. 営業のために配布されたモバイルPCを使って、取引先で質問されたことを調べた。2. その際喫茶店の無料WiFiを利用した。3. Webサイトを閲覧中に警告メッセージのような画面が表示された。4. 時々表示される詐欺まがいの広告の類だろうと思い、メッセージは読まずにブラウザを閉じてPCをシャットダウンした。5. 翌日になると金銭要求のメッセージが表示され、提案書などの拡張子が書き換えられて、元に戻しても文字化けして実行できず。6. モバイルPCは毎日業務終了後に全てのデータを削除しなければならないが、今回はそれを怠っていた(これは文章4からそう読み取れると言う予想)。と言う内容を聞き取った主任が、「インターネット上のWebサイトから、[ D ]によって当該モバイルPCに感染したものと推測した」とあります。選択肢問題で、実質二択なのですが、その二択を間違えました。しかし、理解できませんでした。選択肢1:水飲み場型攻撃(不正解)選択肢2:ドライブバイダウンロード(正解)一応ですが、問題集にある解説を載せます。「水飲み場型攻撃」とは、正規のインターネットサイトを改ざんして、閲覧したユーザに不正なソフトウェアをダウンロードさせる攻撃手法「ドライブバイダウンロード」とは、悪意のあるインターネットサイトにアクセスした時、ユーザに気づかれないように不正なソフトウェアをダウンロードさせる攻撃手法とあります。この二つの違いは接続したサイトが正規のサイトなのか悪意のあるものなのかを判断できなければわからないと思います。私は1. 記述の中に悪意のあるサイトに入り込むようなこと(アダルトなど)を予見させるような記述がなかった点。2. 警告が出ているため気づかれないようにダウンロードさせる...と少し矛盾する(実際気づかれていないので矛盾ではないですが、警告を出さなければもっとリスクは低かったはず...)という点。から、水飲み場型攻撃の方が正しいのでは?と思ってしまいます。今回のこの情報だけでどうやってそれを判断したのでしょうか。共感した0###要約の中で、重要な情報が抜けています。「質問された情報を調べようと、Webサイトを検索していた」これは、ユーザ(ユーザの属性)を攻撃対象としたものではないので、水飲み場に該当しません。水飲み場に分類するかどうかは、技術的にどうかでなく「被害を受けるユーザがアクセス先を信頼していたかどうか」です」ナイス0
###回答ありがとうございました。###どちらの場合も「悪意のあるインターネットサイトにアクセスした時、不正なソフトウェアをダウンロードさせる攻撃手法」という点では同じですが、「正規のインターネットサイトを改ざんして」にあたる部分が問題文にないから、「水飲み場型攻撃」とまでは言えないということだと思いますよ。ちなみに警告文ですが(悪意のある)サイト側でわざわざ表示するとは考えにくいです。モバイルPCのセキュリティソフトが表示したものと考えた方が妥当です。ナイス0
###例えば、OO銀行の口座番号入力画面が出てきて、それに入力させるのが前者ですよね?その場合の警告とは、例えばですが、システムのアップデートとか何か不具合があってパスワードを変えなければならないので現在のパスワードを教えて欲しいなどの事務的な連絡ですよね。後者は、もちろん警告ない場合もありますが、あるとしたら「Free Download」だと思います。まぁ何であれ、水飲み場攻撃というのは、「利用者が水飲み場の水を飲むこと」で感染します。ナイス0

 

TAG