設問3 悪意あるJSONP呼出しスクリプトについて、(1)~(3)に答えよ。
(1) 本文及び図4中の【 c 】並びに本文中の【 e 】に入れる適切な字句を答えよ。
(3) 本文及び図4中の【 d 】に入れる適切な字句を、10字以内で具体的に答えよ。
【 c 】会員サイト
【 e 】ブラウザ
【 d 】JSONP型データ(9文字)
解説
シンプルに問題文の中から言葉を探す問題です。
【 c 】と【 d 】は「ポイント表示サービスの仕組みの中で会員の個人情報が含まれるもの」ですから、以下に示す「図3 会員サイトから送られてくるJSONP型データの例」がそのものズバリです。
putUserData({name:"user1", thisMonthPoint:39, totalPoint:1221,
birth:"1978/3/15", address:"user1の住所", telephone:"029-xxx-yyyy"});
図3 会員サイトから送られてくるJSONP型データの例
【 e 】は「図4のようなJSONP呼出しスクリプトを実行するナニカ」ですから、ブラウザか攻撃者を思い浮かべますが、ここは本文に登場する「ブラウザ」でよいと思います。
[セキュリティに関する検討]
A社では、マッシュアップサービスを初めて導入することもあり、ターゲット型広告サービスの仕組みについて、セキュリティ専門家のZ氏にレビューを受けた。すると、ポイント表示サービスの仕組みには、次に示すようにJSONP呼出しスクリプトを悪用する攻撃で会員の個人情報が漏えいする可能性があるとの指摘を受けた。
A社のポイント表示サービスの仕組みの場合、【会員サイト】から送られる【JSONP型データ】が、会員の個人情報を含む。しかし、②ある条件が成立しているとき、悪意あるWebサイトにアクセスし、図4のように動作するJSONP呼出しスクリプトを【ブラウザ】が実行すると、【JSONP型データ】に含まれる会員の個人情報を奪われる可能性がある。
ステップ1)【会員サイト】にアクセスし、目的とする【JSONP型データ】を取得する。
ステップ2)【JSONP型データ】からの会員の個人情報を抽出して、悪意あるWebサイトに転送する。
図4 悪意あるJSONP呼出しスクリプトの動作概要
最終更新:2013年10月12日 10:58