応用情報技術者 2017年春期午前2 問44

問題文

攻撃に HTTP over TLS (HTTPS) が使われた場合に起こり得ることはどれか。

選択肢

ア：HTTPSを使った SQLインジェクション攻撃を受けると、Webアプリケーションでデータベースへの不正な入力をチェックできないので、悪意のあるSQLが実行されてしまう。

イ：HTTPSを使ったクロスサイトスクリプティング攻撃を受けると、Webブラウザでプログラムやスクリプトを実行しない設定にしても実行を禁止できなくなるので、悪意のある Webサイトからダウンロードされたプログラムやスクリプトが実行されてしまう。

ウ：HTTPSを使ったブルートフォース攻撃を受けると、ログイン試行のチェックができないので、Webアプリケーションでアカウントロックなどの対策が実行できなくなってしまう。

エ：攻撃者が社内ネットワークに仕掛けたマルウェアによって HTTPS が使われると、通信内容がチェックできないので、秘密情報が社外に送信されてしまう。（正解）

攻撃に HTTP over TLS (HTTPS)が使われた場合に起こり得ることはどれか【午前2 解説】

要点まとめ

結論：HTTPS通信は暗号化されているため、マルウェアが社内に侵入すると通信内容の監視や検査が困難になり、秘密情報が外部に漏れるリスクが高まります。
根拠：TLSによる暗号化は通信内容を秘匿するが、内部に侵入した攻撃者は暗号化前後の情報を取得可能であり、通信の検査ができません。
差がつくポイント：HTTPSは通信の盗聴防止に有効だが、内部からのマルウェア感染や不正アクセスには別途対策が必要である点を理解することが重要です。

正解の理由

選択肢エは、HTTPS通信が暗号化されているために外部から通信内容を直接監視できないことを指摘しています。社内ネットワークにマルウェアが侵入すると、暗号化された通信内容をチェックできず、秘密情報が外部に送信されてしまう可能性があるため正解です。HTTPSは通信経路の盗聴を防ぐが、内部のマルウェア対策には別の手段が必要です。

よくある誤解

HTTPSを使えばすべての攻撃を防げると誤解しがちですが、暗号化は通信の盗聴防止に有効なだけで、SQLインジェクションやクロスサイトスクリプティングなどのアプリケーション層の脆弱性は別問題です。

解法ステップ

HTTPSの役割を理解する（通信の暗号化と盗聴防止）
各攻撃手法の特徴を確認する（SQLインジェクション、XSS、ブルートフォース、マルウェア）
HTTPSが防げる攻撃と防げない攻撃を区別する
問題文の「HTTPSが使われた場合に起こり得ること」に合致する選択肢を選ぶ
通信内容の検査ができないリスクを指摘している選択肢エを正解と判断する

選択肢別の誤答解説

ア: HTTPSは通信経路の暗号化を行うが、SQLインジェクションはWebアプリケーションの入力検証の問題であり、HTTPSの有無に関係なく発生する。
イ: クロスサイトスクリプティング（XSS）はブラウザのセキュリティ設定やWebアプリの対策が重要で、HTTPSの使用有無でスクリプト実行の可否は変わらない。
ウ: ブルートフォース攻撃はログイン試行の回数制限などアプリケーション側の対策で防ぐもので、HTTPSの暗号化とは無関係。
エ: HTTPS通信は暗号化されているため、マルウェアが社内に侵入すると通信内容の検査ができず、秘密情報が外部に送信されるリスクがあるため正解。

補足コラム

HTTPSは通信の盗聴や改ざんを防ぐためにTLS（Transport Layer Security）を用いていますが、暗号化はあくまで通信経路の安全性を確保するものであり、内部ネットワークのマルウェア感染やアプリケーションの脆弱性対策とは別の層の防御が必要です。多層防御の考え方が重要です。

FAQ

Q: HTTPSを使えばSQLインジェクションは防げますか？
A: いいえ。SQLインジェクションはWebアプリケーションの入力検証の問題であり、HTTPSの暗号化とは無関係です。

Q: マルウェアが社内に侵入した場合、HTTPSはどのような影響がありますか？
A: HTTPS通信は暗号化されているため、マルウェアが通信内容を検査できず、秘密情報が外部に送信されるリスクが高まります。

関連キーワード: HTTPS, TLS, マルウェア、通信暗号化、SQLインジェクション、クロスサイトスクリプティング、ブルートフォース攻撃、情報漏洩対策

← 前の問題へ次の問題へ →

\ せっかくなら /

応用情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！