平成30年度 秋期 ITパスポート試験 公開問題 問60 解説 MITB攻撃の定義

この問題のポイントは、攻撃の対象が「Webブラウザ」であり、正当な通信の途中に「割り込んで」改ざんを行うという点に注目することです。

選択肢にある攻撃手法の中から「ブラウザを乗っ取る」「通信の間に介在する」というキーワードと一致するMITB攻撃を選択します。他の選択肢は以下の通り、全く別の攻撃を指しているため除外できます。

SQLインジェクションは、Webサイトの入力フォームなどを通じてデータベース操作のための命令を混入させ、データベースを不正に操作する手法です。Webアプリケーション側の脆弱性を突くものですが、ブラウザそのものを乗っ取る手法とは異なります。

ソーシャルエンジニアリングは、コンピュータの技術的な弱点ではなく、パスワードを付箋に書いて貼っておく、電話でIDを聞き出すといった、人間の心理的隙や行動のミスを利用して情報を盗み出す手法全般を指します。

ブルートフォース攻撃は、辞書攻撃とも呼ばれる手法で、パスワードなどの組み合わせを総当たりで試し、強引に突破しようとする攻撃のことです。

MITB攻撃は、Man In The Browserの略称で、利用者が使っているブラウザに感染したマルウェアが、ブラウザとWebサーバ間の通信を監視・改ざんする攻撃です。利用者のパソコンが既にウイルスに感染していることが前提となります。ブラウザ上に本来存在しない入力画面を表示させて暗証番号を盗み出したり、送金先の口座番号を裏で書き換えたりするため、利用者は正当な手続きを行っているつもりでも、結果として不正送金に加担させられてしまう恐ろしい手口です。

ITパスポート試験では、このような「攻撃手法と、そのターゲットや目的の組み合わせ」を問う問題が頻出します。特に、MITM（Man In The Middle：通信の途中で割り込む）と混同しやすいですが、ブラウザに限定されている場合はMITBであることを整理しておくと確実です。

IPA：Man in the Browser攻撃について 総務省：国民のための情報セキュリティサイト（不正送金などの攻撃） セキュリティ用語事典：MITB攻撃（Man-in-the-Browser攻撃）とは