解答　ウ

【頭の準備体操】
利用者がWebサイトにアクセスするだけで，気づかないうちにマルウェアがダウンロードされる攻撃。

• ア　窃盗
• イ　ランサムウェア
• ウ　ドライブバイダウンロード攻撃(正解)
• エ　トロイの木馬

解答　イ

【頭の準備体操】
DNSキャッシュポイズニングは，DNSサーバのキャッシュに偽の情報を注入して，利用者を偽のWebサイトに誘導する攻撃。
再帰的DNSサーバは，端末から問合せを受けると，回答を得るために他のDNSサーバに問い合わせ，その結果を返す。キャッシュDNSサーバは通常，再帰的に動作する。

【イメージで解く】
(概要)

• ①　利用者はzzz.comにアクセスする。
• ②　キャッシュDNSサーバに「zzz.comのIPアドレスは?」と問い合わせる。キャッシュDNSサーバに情報がないので，
• ③　権威DNSサーバに「zzz.comのIPアドレスは?」と問い合わせる。「IPアドレスはyyy.yyy.yyy.yyyです」と応答する前に
• ④　攻撃者は，「zzz.comのIPアドレスは，xxx.xxx.xxx.xxx」という偽の情報をキャッシュさせる。
• ⑤　「IPアドレスはxxx.xxx.xxx.xxxです」と偽の情報を応答する。
• ⑥　偽のサイトに誘導させる。

解答　エ

【頭の準備体操】
SQLインジェクションは，Webページの入力フィールドに悪意のあるSQLコードを注入することで，データベースを不正に操作する攻撃。

プレースホルダは，SQLコードの中で動的に変わる部分を安全に処理するための箱。
(SQLコードの例)
SELECT * FROM users WHERE username = ?
?はプレースホルダ。Webページの入力フィールドからの入力値はプレースホルダに入れられた後，安全に処理される。

プレースホルダを使えば，データベースに渡される入力値はSQLコードとして解釈されないように自動的に無害化(エスケープ処理という)される。　⇒　Webページの入力フィールドからの入力値は，「SQLコード」として実行されるのではなく，単なる「値」として扱われる。

• ア　クロスサイトスクリプティングの対策
• イ　ディレクトリトラバーサルの対策
• ウ　CSSインジェクションの対策
• エ　正解

解答　ア

【頭の準備体操】
SQLインジェクションは，Webページの入力フィールドに悪意のあるSQLコードを注入することで，データベースを不正に操作する攻撃。

プレースホルダは，SQLコードの中で動的に変わる部分を安全に処理するための箱。
(SQLコードの例)
SELECT * FROM users WHERE username = ?
?はプレースホルダ。Webページの入力フィールドからの入力値はプレースホルダに入れられた後，安全に処理される。

プレースホルダを使えば，データベースに渡される入力値はSQLコードとして解釈されないように自動的に無害化(エスケープ処理という)される。　⇒　Webページの入力フィールドからの入力値は，「SQLコード」として実行されるのではなく，単なる「値」として扱われる。

解答　エ

【頭の準備体操】
ドメイン名ハイジャックは，他人のドメイン名を不正に取得または登録情報を改ざんする攻撃。

• ア　中間者攻撃
• イ　Dos攻撃
• ウ　ディレクトリトラバーサル
• エ　ドメイン名ハイジャック(正解)