応用情報技術者試験令和3年秋午前問44 解説付き過去問

問題

オープンリダイレクトを悪用した攻撃に該当するものはどれか。

HTMLメールのリンクを悪用し、HTMLメールに、正規のWebサイトとは異なる偽のWebサイトのURLをリンク先に指定し、利用者がリンクをクリックすることによって、偽のWebサイトに誘導する。

Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し、攻撃者が指定した偽のWebサイトに誘導する。

インターネット上の不特定多数のホストからDNSリクエストを受け付けて応答するDNSキャッシュサーバを悪用し、攻撃対象のWebサーバに大量のDNSのレスポンスを送り付け、リソースを枯渇させる。

設定の不備によって、正規の利用者以外からの電子メールやWebサイトへのアクセス要求を受け付けるプロキシを悪用し、送信元を偽った迷惑メールの送信を行う。

この問題は、Webセキュリティの観点からオープンリダイレクト攻撃の具体例を理解することを要求しています。

オープンリダイレクトとは
オープンリダイレクトは、ユーザーが特定のリンクをクリックしたときに、攻撃者が意図する別のWebサイトへ無条件にリダイレクトさせる脆弱性です。この攻撃は、正規のWebサイトに見せかけることで、ユーザーを騙して機密情報を盗み出すフィッシング攻撃に利用されることが多いです。
正解選択肢の分析
正解の選択肢は、Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し、攻撃者が指定した偽のWebサイトに誘導するシナリオです。ここでの攻撃ポイントは、リダイレクト機能が正規のプロセスの一部として存在しているが、そのリダイレクト先が攻撃者によって制御されている点です。このようにユーザーが安全だと誤認識しやすい機能を悪用することが、オープンリダイレクト攻撃の特徴です。
他の選択肢の誤り
他の選択肢は、オープンリダイレクト攻撃とは異なる攻撃方法です。例えば、DNSリクエストの乱用やプロキシの不正利用は、リダイレクトとは直接的な関連がありません。これらは、それぞれDDoS攻撃やスパムメールの送信に関連するもので、ユーザーを偽のサイトに誘導する行為とは本質が異なります。

したがって、正解はユーザーを攻撃者が指定した偽のWebサイトに誘導する機能を悪用したシナリオであるため、「Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し、攻撃者が指定した偽のWebサイトに誘導する。」が正しい答えです。