ITパスポート 令和5年度 問58：securityに関する問題

答えは c「ドライブバイダウンロード」 です。

あるWebサイトに、こっそり“わるいプログラム”が仕掛けてあります。何も知らずにそのサイトを見ただけで、あなたのスマホやパソコンの弱いところを突かれて、ウイルスを勝手にダウンロードさせられてしまう攻撃です。クリックしなくても、見ただけで感染することがあるのが怖いところ。

👉 覚え方：「車で“通りすがり（ドライブバイ）”に撃たれる」イメージ。サイトを通りかかっただけで感染。

ほかの選択肢：a DDoS＝大勢で一斉アクセスしてパンクさせる／b SQLインジェクション＝データベースに不正な命令を流し込む／d フィッシング＝ニセサイトに誘導して情報を盗む。

なぜこれが正解か

正解は c。ドライブバイダウンロードは、攻撃者が仕込んだWebサイトに利用者がアクセスしただけで、Webブラウザやプラグインの脆弱性を突いてマルウェアを自動的にダウンロード・感染させる攻撃。利用者の明示的な操作（クリック・ダウンロード許可）を伴わない点が特徴。

各選択肢の解説

• a DDoS攻撃：多数の端末から大量アクセスを送り、サーバをサービス停止に追い込む攻撃。
• b SQLインジェクション：入力欄に不正なSQL文を注入し、データベースを不正操作する攻撃。
• d フィッシング攻撃：偽サイトや偽メールで利用者を騙し、ID・パスワード等を入力させて盗む攻撃。

覚え方・ひっかけ注意

「見ただけ・通りかかっただけで感染＝ドライブバイ」。dフィッシングは“騙して入力させる”のが本質で、ここが区別点。脆弱性放置（未更新ブラウザ）が被害の前提になる。

理論的背景

ドライブバイダウンロード（Drive-by Download）攻撃は、改ざんされたWebサイトまたは悪意のある広告（マルバタイジング）を閲覧した利用者のブラウザに、利用者の操作・同意なしにマルウェアをダウンロード・実行させる攻撃手法である。「ドライブバイ（Drive-by）」は車で通りすがりに撃つという比喩であり、ターゲットがサイトを訪問（通過）するだけで感染するという特性を表現している。

攻撃の技術的仕組みは、悪意のあるスクリプト（JavaScriptコード）がWebページに埋め込まれ、閲覧者のブラウザ・Java・Flash・PDFリーダー・メディアプレイヤーなどの既知の脆弱性（CVE番号で管理される）を突いてシェルコードを実行し、マルウェアをダウンロード・インストールするという流れになる。高度な攻撃ではエクスプロイトキット（Exploit Kit）と呼ばれる攻撃自動化プラットフォーム（Angler・Neutrino・RIG・Magnitude等）が使用され、訪問者の環境（OSバージョン・ブラウザバージョン・インストール済みプラグイン）を自動判定して最適な脆弱性エクスプロイトを選択・実行する多段構成が一般的である。

攻撃経路の多様化として、正規の人気Webサイトがハッキングされて改ざんされる「Water-holing（水飲み場型攻撃）」と組み合わせることで、標的組織の社員が日常的に訪問するWebサイトを踏み台にした標的型攻撃への応用も多く確認されている。

実務での使われ方

ドライブバイダウンロードへの対策は複数の防御層を組み合わせる「多層防御」が基本となる。

エンドポイント側の対策：ブラウザ・OS・プラグイン（Java・Flash・Adobe Reader）の迅速なパッチ適用が最優先の根本対策。Flash Playerはセキュリティリスクの温床として2020年末にAdobeが正式終了させた。攻撃対象面（アタックサーフェス）を最小化するため、不要なプラグインの無効化・削除も有効。

ネットワーク・コンテンツ側の対策：WebプロキシによるURLフィルタリング・悪意あるサイトのブロック、Content Security Policy（CSP）ヘッダーによるWebサイト側での悪意スクリプト実行の制限、Sandboxing（仮想化された隔離環境でのURL・ファイル検査）がある。EDR（Endpoint Detection and Response）製品はエクスプロイトコードの動作パターンを検知する機能を持つ。

近年はFlashの終焉・ブラウザセキュリティの向上・ゼロデイ（未パッチ）脆弱性の高価格化により、ドライブバイダウンロードの件数は2015〜2016年のピークから減少しているが、完全になくなったわけではなく、特に産業制御システム（ICS/SCADA）・脆弱性管理が行き届かないIoTデバイス・古いOSを使い続けるレガシー環境での脅威が継続している。

試験での位置づけ

ITパスポートのセキュリティ分野では、攻撃手法の定義・特徴・対策の3点セットで覚えることが効率的な対策となる。ドライブバイダウンロードは「閲覧だけで感染・利用者の操作なし・脆弱性を悪用」という3つのキーワードで識別できる。これを他の攻撃と区別する最大の特徴は「閲覧という受動的行為だけで感染が成立する」点であり、他の攻撃（フィッシング：騙して入力させる、標的型メール：添付開封・リンクをクリック）との違いが試験で問われる。

攻撃の被害者（利用者）の視点から整理すると：ドライブバイは「何もしなくても（通りがかるだけで）感染する」、フィッシングは「騙されて自分から入力する」、標的型攻撃は「巧妙に偽装されたメールの添付・URLを開く」という能動性の違いが区別の鍵である。

選択肢の発展補足

DDoS攻撃（a）：Distributed Denial of Service攻撃。複数のゾンビPC・ボットネットから標的サーバに大量のリクエストを送り、サービスを過負荷状態にして正常なアクセスを妨害する攻撃。可用性（Availability）を標的とし、利用者にマルウェアを感染させるドライブバイダウンロードとは目的・仕組みが根本的に異なる。近年はAmplification攻撃（DNS/NTP/Memcachedの増幅機能を悪用した反射型DDoS）、HTTP Layer 7攻撃など手法が多様化している。

SQLインジェクション（b）：WebアプリケーションのフォームやURLパラメータに悪意あるSQL文を注入し、データベースの情報窃取・改ざん・削除を行う攻撃。アプリケーション側の入力値の不適切な処理（エスケープ処理の欠如）が脆弱性の原因であり、プリペアドステートメント・パラメータ化クエリによる対策が根本解決。完全性（Integrity）・機密性（Confidentiality）を標的とする攻撃でドライブバイダウンロードとは攻撃対象・手法が異なる。

フィッシング攻撃（d）：正規組織（銀行・ECサイト・官公庁・SNS）を模した偽メール・偽サイトで利用者を騙し、ログイン情報・クレジットカード番号・個人情報を自発的に入力させて盗む社会工学的攻撃。「人間の判断・行動を操作する」という点で、ブラウザの脆弱性を機械的に突くドライブバイダウンロードとは攻撃メカニズムが本質的に異なる。フィッシングの高度化形態としてスピアフィッシング（特定個人・組織を標的にした文脈情報を盛り込んだ偽メール）・スミッシング（SMS経由）・ビッシング（音声通話経由）がある。