戦国IT - 情報処理技術者試験の過去問対策サイト
お知らせお問い合わせ料金プラン

応用情報技術者 2021年 秋期 午前244

問題文

オープンリダイレクトを悪用した攻撃に該当するものはどれか。

選択肢

HTMLメールのリンクを悪用し,HTML メールに、正規の Webサイトとは異なる偽の WebサイトのURLをリンク先に指定し、利用者がリンクをクリックすることによって、偽の Webサイトに誘導する。
Webサイトにアクセスすると自動的に他の Webサイトに遷移する機能を悪用し、攻撃者が指定した偽の Webサイトに誘導する。(正解)
インターネット上の不特定多数のホストから DNSリクエストを受け付けて応答する DNSキャッシュサーバを悪用し、攻撃対象の Webサーバに大量の DNSのレスポンスを送り付け、リソースを枯渇させる。
設定の不備によって、正規の利用者以外からの電子メールや Webサイトへのアクセス要求を受け付けるプロキシを悪用し、送信元を偽った迷惑メールの送信を行う。

オープンリダイレクトを悪用した攻撃に該当するものはどれか【午前2 解説】

要点まとめ

  • 結論:オープンリダイレクト攻撃は、Webサイトのリダイレクト機能を悪用し、利用者を攻撃者指定の偽サイトに誘導する攻撃です。
  • 根拠:正規サイトのリダイレクト先を自由に指定できる場合、悪意あるURLに誘導されやすくなり、フィッシング詐欺などに利用されます。
  • 差がつくポイント:リダイレクト機能の安全な実装方法や、攻撃の特徴を理解し、他の類似攻撃(DNS攻撃や迷惑メール送信など)と区別できることが重要です。

正解の理由

は「Webサイトにアクセスすると自動的に他のWebサイトに遷移する機能を悪用し、攻撃者が指定した偽のWebサイトに誘導する」とあり、これはオープンリダイレクト攻撃の典型的な説明です。リダイレクト先を攻撃者が自由に指定できるため、利用者が正規サイトを訪れたつもりでも偽サイトに誘導されてしまいます。

よくある誤解

アはフィッシングメールのリンク誘導であり、オープンリダイレクトとは異なります。ウやエはDNS攻撃やプロキシの悪用であり、リダイレクト機能の悪用ではありません。

解法ステップ

  1. 問題文の「オープンリダイレクト」の意味を確認する。
  2. 各選択肢の攻撃手法を理解し、リダイレクト機能の悪用かどうかを判別する。
  3. リダイレクト機能を悪用し、利用者を偽サイトに誘導するものを選ぶ。
  4. 他の選択肢は攻撃の種類が異なるため除外する。

選択肢別の誤答解説

  • ア: HTMLメールのリンクを使ったフィッシングであり、リダイレクト機能の悪用ではない。
  • : 正解。Webサイトのリダイレクト機能を悪用して偽サイトに誘導する典型的なオープンリダイレクト攻撃。
  • ウ: DNSキャッシュサーバを悪用したリソース枯渇攻撃であり、リダイレクトとは無関係。
  • エ: プロキシの設定不備を悪用した迷惑メール送信であり、リダイレクト攻撃ではない。

補足コラム

オープンリダイレクトは、Webアプリケーションのリダイレクト先URLを検証せずに外部から指定可能な場合に発生します。対策としては、リダイレクト先をホワイトリストで管理したり、相対パスのみ許可するなどの方法があります。攻撃者はこれを利用してフィッシング詐欺やセッションハイジャックの踏み台にすることがあります。

FAQ

Q: オープンリダイレクト攻撃はどのような被害をもたらしますか?
A: 利用者を偽サイトに誘導し、個人情報の窃取やマルウェア感染を引き起こす可能性があります。
Q: オープンリダイレクトとフィッシングメールの違いは何ですか?
A: オープンリダイレクトはWebサイトのリダイレクト機能の悪用で、フィッシングメールはメール内の偽リンクを使った攻撃です。
関連キーワード: オープンリダイレクト、リダイレクト攻撃、フィッシング、Webセキュリティ、DNS攻撃、プロキシ悪用
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてプライバシーポリシー利用規約特商法表記開発者について