令和6年度秋期の情報処理安全確保支援士試験で出題された「Webスキミング」の手口と、インシデント調査に必要な「ログ分析」について解説します。具体的には、偽フォームを仕掛ける「格納型クロスサイトスクリプティング」や「SQLインジェクション」、DOM操作による画面改ざん、そして最新の防御策である「CSP」や「SRI」といった重要キーワードを学習できます。
Webスキミングは、攻撃者がECサイトの入力画面をDOM操作で動的に改ざんし、利用者が入力したクレジットカード情報を不正に外部へ送信させる手口です。送信された情報は外部サーバのアクセスログに記録されるため、攻撃者は自前のWebアプリなしで情報を窃取できます。このような脅威を防ぐため、未許可のデータ送信をブラウザ側で強制的にブロックするCSPなどの対策を理解することが重要です。
