オープンリダイレクトを悪用した攻撃に該当するものはどれか。
  1. HTMLメールのリンクを悪用し、HTML メールに、正規のWebサイトとは異なる偽のWebサイトのURLをリンク先に指定することによって、リンクをクリックした利用者を偽のWebサイトに誘導する。
  2. WebサイトにアクセスするとURL中のパラメータで指定された他のWeb サイトに遷移する機能を悪用し、利用者を偽のWebサイトに誘導する。
  3. インターネット上の不特定多数のホストからDNSリクエストを受け付けて応答するDNSキャッシュサーバを悪用し、Webサーバに大量のDNSのレスポンスを送り付け、リソースを枯渇させる。
  4. 設定の不備によって、正規の利用者以外からの電子メールやWebサイトへのアクセス要求を受け付けるプロキシを悪用し、送信元を偽った迷惑メールの送信を行う。

出典:令和6年度 システム監査技術者試験 午前2 問18




正解:イ
オープンリダイレクトと、Webアプリケーションが外部からのパラメータに依存して処理してしまうことで、ーザーを意図しない外部サイトに誘導できてしまう脆弱性です。
本来のWebサイトに悪意が無くても、クロスサイトスクリプティングのように脆弱性を突いて外部からパラメータが注入され、結果的に他の利用者が攻撃されてしまう恐れがあります。

回答ア:
HTMLメールを用いたフィッシング詐欺についての説明であり不適切です。

回答イ:
正しい記述です。オーブンリダイレクトの説明です。

回答ウ:
DNSアンプ(増幅)攻撃の説明であり不適切です。

回答エ:
踏み台攻撃の説明であり不適切です。
休日プログラマー