令和5年度 ITパスポート試験 公開問題 問58 解説 ドライブバイダウンロード

この問題は「Webサイトへのアクセス」と「利用者が意図しないダウンロード」というキーワードの組み合わせで判断します。問題文にある「Webサイトにアクセスしただけで」「気付かないうちに」という点が、この攻撃手法の最大の特徴です。

ドライブバイダウンロード攻撃の仕組みと特徴

ドライブバイダウンロード（Drive-by Download）は、直訳すると「通りすがりのダウンロード」という意味です。攻撃者が改ざんしたWebサイトや悪意のあるWebサイトに利用者がアクセスした際、Webブラウザの脆弱性や設定の不備を突いて、利用者の許可や意識なしに自動的にマルウェアをダウンロードさせ、実行まで行う攻撃手法を指します。

この攻撃の恐ろしい点は、何かボタンを押したりファイルをダウンロードしようとしたりしなくても、Webサイトを表示しただけで被害に遭う可能性があることです。Webサイトの閲覧という、普段何気なく行っている操作がそのまま攻撃の入り口になってしまうため、OSやWebブラウザを常に最新の状態に保ち、脆弱性を解消しておくことが最大の対策となります。

他の選択肢との違い

ITパスポート試験では、似たようなカタカナ用語の攻撃手法と混同しないことが重要です。それぞれの定義を整理しておきましょう。

DDoS攻撃（分散型サービス拒否攻撃）は、複数のコンピュータから特定のサーバーなどに大量のパケットを一斉に送りつけ、サービスを機能停止に追い込む攻撃です。ドライブバイダウンロードとは目的も手段も大きく異なります。

SQLインジェクションは、Webサイトの入力フォームなどを通じて悪意のあるデータベース操作命令（SQL文）を送り込み、データベース内の情報を盗み出したり改ざんしたりする攻撃です。こちらはWebサイト側のプログラムの欠陥を突くものですが、利用者の端末を直接乗っ取るような挙動とは異なります。

フィッシング攻撃は、実在する銀行や企業を装った偽のWebサイトへ誘導し、ID、パスワード、クレジットカード番号などの個人情報を盗み出す詐欺行為です。これは「利用者を騙して入力させる」という点で、ドライブバイダウンロードの「勝手に侵入される」という性質とは明確に区別できます。

試験での活用ポイント

この問題のように、攻撃手法の名前と、その攻撃が「何をするものか」「どのような被害をもたらすか」を結びつける形式は頻出です。

・ドライブバイダウンロード：Web閲覧だけで勝手に感染（脆弱性を悪用） ・SQLインジェクション：データベースの中身が漏洩（Webサイトの不備を悪用） ・フィッシング：偽サイトで個人情報を入力（心理的な隙を悪用）

これらをセットで覚えておくと、消去法で正解を導き出しやすくなります。また、「脆弱性を突く」という表現が出てきたら、それが「どの攻撃に当てはまるか」を慎重に吟味する癖をつけておくと、応用問題にも対応できるようになります。

• JPCERTコーディネーションセンター：Webサイト閲覧だけで感染する脅威への注意喚起