忍者ブログ
情報処理技術者試験の合格を目指す全受験者のための、1問1問「徹底解説」ブログです。単なる過去問の暗記ではなく、なぜその答えになるのかを本質的に理解できるよう解説します。書籍などでは学べない最新用語やトレンドを踏まえてご紹介します。

【情報セキュリティ】行動の足跡を見逃さない!「責任追跡性」|情報処理問題1000本ノック

情報セキュリティの7要素を解説するシリーズ。今回は、システム内での行動を後から辿れるようにする「責任追跡性」を攻略しましょう。

1. 【 問題 】:セキュリティの付加特性

【 問題 】 情報セキュリティの要素の中で、ある実体の動作が、その動作から元となる実体まで一意に追跡できることを確実にする特性を指すものはどれでしょうか?

① 真正性(Authenticity)
② 責任追跡性(Accountability)
③ 否認防止(Non-repudiation)
④ 信頼性(Reliability)

2. 正解:

正解: ② 責任追跡性(Accountability)

3. 解説:デジタル上の「指紋」と「足跡」を残す

責任追跡性とは、システムで発生したイベント(ログイン、ファイル操作、設定変更など)を、それを行ったユーザーやプログラムと正確に紐づけて後から検証できる状態のことです。

【 情報セキュリティの7要素:再掲 】

[ 基本の3要素:CIA ]
1. 機密性 (C):漏洩防止。
2. 完全性 (I):改ざん防止。
3. 可用性 (A):停止防止。

[ 付加的な4要素 ]
4. 真正性:なりすまし防止。
5. 責任追跡性「ログの証拠」。誰がいつ何をしたか一意に追跡できる。 ← ココ!
6. 否認防止:しらばっくれ防止。後から事実を否定できない。
7. 信頼性:意図した通りに正しく動作する。

「一意に追跡できる」「動作の元を辿れる」は、責任追跡性の定義です。
[ 具体的な対策例 ]
詳細なアクセスログの取得:操作日時、IPアドレス、実行ユーザーIDなどの履歴を厳重に記録する。
アカウントの個別化:1つのID(例:admin)を複数人で使い回さず、1人1IDを徹底することで「動作の元」を特定可能にする。
タイムスタンプの同期(NTP):複数の機器でログの時間を一致させ、一連の行動のタイムラインを正しく追跡できるようにする。

1. 理解のコツ: 防犯カメラが回っている「お店」をイメージしてください。誰かが商品を動かしたとき、カメラの映像(ログ)を巻き戻せば、どの人物(実体)が動かしたのかがバッチリ特定できますよね。この「犯人探しや原因究明ができる状態」が責任追跡性です。
2. 試験対策の視点: 「一意に追跡できる」「元となる実体まで辿れる」「ログの管理」という表現が出たら「責任追跡性(アカウンタビリティ)」を選びましょう。次回解説する「否認防止(後からやってないと言わせない)」と非常に深い関係にあります。

4. まとめ

「システム内の行動を、その実行者まで確実に遡れる状態」。これが責任追跡性です。万が一のインシデント(セキュリティ事故)発生時に、被害の拡大を防ぎ、迅速な原因究明を行うために不可欠な要素です。


PR

【開発技術】変化のルールを可視化!「状態遷移図(ステートマシン図)」|情報処理問題1000本ノック

システムやオブジェクトが「今どんな状態で、何が起きたら次の状態へ移るのか」。その振る舞いのルールを記述する図法を攻略しましょう。

1. 【 問題 】:UMLによる振る舞いの表現

【 問題 】 UML(Unified Modeling Language)において、オブジェクトが作成されてから破棄されるまでの間に、外部からのイベントや時間の経過によって、その状態がどのように変化するかを表現する図はどれでしょうか?

① クラス図
② ユースケース図
③ 状態遷移図(ステートマシン図)
④ シーケンス図

2. 正解:

正解: ③ 状態遷移図(ステートマシン図)

3. 解説:「きっかけ」と「移り変わり」を追う

状態遷移図は、システムの「動的な側面」を表現します。特に組込みシステムや、複雑な画面遷移、注文ステータスの管理などの設計に威力を発揮します。

【構成要素のキーワード】

■ 状態(State)
・オブジェクトが置かれている状況(例:停止中、実行中、待機中)。角丸の長方形で表します。

■ イベント(Event)
・変化を引き起こす「きっかけ」(例:ボタン押下、タイムアウト)。

■ 遷移(Transition)
・ある状態から別の状態へ移ること。矢印で表します。
[ よく出るUMLの分類 ]
構造図:クラス図など(静的な形を表す)。
振る舞い図:状態遷移図、アクティビティ図など(時間の経過や動きを表す)。

1. 理解のコツ: 「全自動洗濯機」を想像してください。「給水」状態のときに「満水」というイベントが起きると「洗い」状態へ移ります。このように、勝手に別の状態へ飛ばないための「交通整理の地図」が状態遷移図です。
2. 試験対策の視点: 「イベント」「時間経過」「状態の変化」という言葉が出たら状態遷移図(ステートマシン図)が正解です。一方、メッセージのやり取りを時系列で表す「シーケンス図」との違いを問われることが多いので注意しましょう。

4. まとめ

「オブジェクトの状態変化のルールを記述した図」。これが状態遷移図です。不具合の少ない堅牢なシステムを設計するために、あらゆる「状態」と「遷移条件」を網羅することは、エンジニアにとって非常に重要なスキルです。


【情報セキュリティ】なりすましを許さない!「真正性」|情報処理問題1000本ノック

情報セキュリティの7要素を解説するシリーズ。今回は、利用者や情報が「主張通り本物」であることを証明する「真正性」を攻略しましょう。

1. 【 問題 】:セキュリティの付加特性

【 問題 】 情報セキュリティの要素の中で、利用者、プロセス、システム、情報などが、主張通り本人(本物)であることを確実にする特性を指すものはどれでしょうか?

① 真正性(Authenticity)
② 責任追跡性(Accountability)
③ 否認防止(Non-repudiation)
④ 信頼性(Reliability)

2. 正解:

正解: ① 真正性(Authenticity)

3. 解説:その「自称」は本当か?を検証する

真正性とは、情報の作成者やアクセスしようとしている人が「偽物ではない」と証明されている状態です。

【 情報セキュリティの7要素:再掲 】

[ 基本の3要素:CIA ]
1. 機密性 (C):漏洩防止。
2. 完全性 (I):改ざん防止。
3. 可用性 (A):停止防止。

[ 付加的な4要素 ]
4. 真正性「なりすまし防止」。本人が作成・アクセスしたと証明できる。 ← ココ!
5. 責任追跡性:誰が何をしたか追跡できる。
6. 否認防止:後から事実を否定できない。
7. 信頼性:意図した通りに正しく動作する。

「本人が作成したことを証明する」「なりすましではない」は、真正性の定義です。
[ 具体的な対策例 ]
デジタル署名:メールの送信者が「自称・社長」ではなく、本当に社長本人であることを証明する。
多要素認証:生体認証などを組み合わせ、ログインしているのが本人であることを確実にする。
デジタル証明書:アクセスしているWebサイトが「本物の銀行」であることを証明する。

1. 理解のコツ: ホテルのチェックインをイメージしてください。「私は〇〇です」と名乗るだけでは不十分で、免許証(真正性の証明)を見せて初めて鍵がもらえますよね。ITの世界でも、デジタル署名などが免許証の役割を果たします。
2. 試験対策の視点: 「主張通り本人であること」「なりすまし防止」「本物であることの確実性」というキーワードが出たら「真正性」を選びましょう。完全性(中身が正しい)と真正性(作成者が正しい)を混同しないように注意です。

4. まとめ

「相手や情報が、偽物ではなく本物であると保証されている状態」。これが真正性です。ゼロトラスト(何も信じない)という現代のセキュリティの考え方において、最も重要視されている要素の一つです。

【情報セキュリティ】改ざんを許さない!「完全性」|情報処理問題1000本ノック

情報セキュリティの7要素を解説するシリーズ。今回は、データが正確であることを保証する「完全性」を攻略しましょう。

1. 【 問題 】:セキュリティの基本要素

【 問題 】 情報セキュリティの要素の中で、情報が正確で、最新の状態に保たれていること、および不当な改ざんや破壊が行われていない状態を指すものはどれでしょうか?

① 機密性(Confidentiality)
② 完全性(Integrity)
③ 可用性(Availability)
④ 真正性(Authenticity)

2. 正解:

正解: ② 完全性(Integrity)

3. 解説:情報の「正しさ」と「完璧さ」を守る

完全性とは、情報が意図せず書き換えられたり、壊されたりしていないことを指します。いわば、情報の「品質保証」です。

【 情報セキュリティの7要素:再掲 】

[ 基本の3要素:CIA ]
1. 機密性 (C):漏洩防止。
2. 完全性 (I)「改ざん防止」。情報が正確で最新である。 ← ココ!
3. 可用性 (A):停止防止。いつでも使える。

[ 付加的な4要素 ]
4. 真正性:なりすまし防止。
5. 責任追跡性:誰が何をしたか追跡できる。
6. 否認防止:後から事実を否定できない。
7. 信頼性:意図した通りに正しく動作する。

「情報が正確で最新」「改ざんされていない」は、完全性の定義です。
[ 具体的な対策例 ]
デジタル署名:ファイルが途中で書き換えられていないかチェックする。
バックアップ:万が一データが破壊されても、正しい状態に戻せるようにする。
ハッシュ値の比較:ダウンロードしたファイルが正規のものか確認する。

1. 理解のコツ: 銀行の預金残高をイメージしてください。他人にバレないこと(機密性)も大事ですが、勝手に数字を書き換えられないこと(完全性)が担保されていなければ、恐ろしくて預けられませんよね。
2. 試験対策の視点: 「情報の正確性」「不当な改ざん」「破壊」というキーワードが出たら「完全性」を選びましょう。機密性(漏らさない)と完全性(正しさを守る)をセットで押さえておくのが合格への近道です。

4. まとめ

「情報が正確で、かつ書き換えられていない状態」。これが完全性です。ハッシュ関数やデジタル署名といった技術は、まさにこの完全性を証明するために存在しています。


【情報セキュリティ】情報の「秘密」を死守する!「機密性」|情報処理問題1000本ノック

情報セキュリティには、守るべき基本の3要素(CIA)に4つの特性を加えた「7要素」という考え方があります。今回はその中でも最も基本となる「機密性」を攻略しましょう。

1. 【 問題 】:セキュリティの基本要素

【 問題 】 情報セキュリティの要素の中で、アクセスを許可された者だけが情報にアクセスでき、意図した相手以外に情報が漏れないようにすることを何と呼ぶでしょうか?

① 機密性(Confidentiality)
② 完全性(Integrity)
③ 可用性(Availability)
④ 真正性(Authenticity)

2. 正解:

正解: ① 機密性(Confidentiality)

3. 解説:情報セキュリティの7要素

基本の3要素(CIA)に、さらに4つの特性を加えた「7要素」を整理します。試験ではそれぞれの定義の「違い」が問われます。

【 情報セキュリティの7要素 】

[ 基本の3要素:CIA ]
1. 機密性 (C)「漏洩防止」。許可された人だけが使える。
2. 完全性 (I)「改ざん防止」。情報が正確で最新である。
3. 可用性 (A)「停止防止」。必要な時にいつでも使える。

[ 付加的な4要素 ]
4. 真正性「なりすまし防止」。利用者や情報が本物であると証明できる。
5. 責任追跡性「ログの証拠」。誰がいつ何をしたか追跡できる。
6. 否認防止「しらばっくれ防止」。後から事実を否定できない。
7. 信頼性「処理の確実性」。システムが意図した通りに正しく動作する。

「意図した相手以外に漏れない」は、機密性の定義です。
[ 覚え方のヒント ]
機密性を保つ手段 = ID/パスワードによる制限、データの暗号化など。
真正性を保つ手段 = デジタル署名、多要素認証など。

1. 理解のコツ: 「機密性」は、大切なラブレターに封をして、宛てた相手以外には読ませないようにするイメージです。情報が外に漏れ出すことを防ぐのが最大の目的です。
2. 試験対策の視点: DS検定や情報処理試験において、セキュリティの定義を問う問題は得点源です。特に「機密性(漏洩)」と「真正性(本人の証明)」などは、言葉の響きが似ていても役割が全く異なるため、正確に判別しましょう。

4. まとめ

「アクセス権がある人だけが見られる状態にすること」。これが機密性です。機密性・完全性・可用性の3要素に、さらに4要素を加えた合計7つの視点を持つことが、プロフェッショナルなセキュリティ管理の第一歩です。


【システム構成】データの巻き戻し限界点!「RPO」|情報処理問題1000本ノック

システム障害や災害が発生した際、「バックアップからどの時点の状態まで戻す必要があるか」を定義する重要指標を攻略しましょう。

1. 【 問題 】:目標復旧時点(RPO)

【 問題 】 事業継続計画(BCP)やシステムの運用設計において、障害発生時に「失われたデータをどの時点の状態まで復旧させるか」という目標を示す指標はどれでしょうか?

① RTO (Recovery Time Objective)
② RPO (Recovery Point Objective)
③ MTTR (Mean Time To Repair)
④ SLA (Service Level Agreement)

2. 正解:

正解: ② RPO(Recovery Point Objective)

3. 解説:キーワードは「どの時点のデータか」

RPOは、バックアップの間隔(頻度)に直結する概念です。この値が小さいほど、データ損失が少ないことを意味します。

【図解:RPOの考え方】

■ RPO (Recovery Point Objective)
焦点:失われるデータの量(鮮度)。
決まり方:バックアップの頻度で決まる。1日1回ならRPOは最大24時間。

■ 混同しやすい RTO との違い
RTO (Recovery Time Objective):障害発生から「いつまでに(時間内)」復旧させるかという目標。
RPO (Recovery Point Objective):障害発生から「どこまで(時点)」遡ったデータで復旧するかという目標。
[ 試験によく出るケース ]
「24時間前のデータで復旧した」→ RPOは24時間。
「リアルタイムでミラーリングしている」→ RPOはほぼ0。

1. 理解のコツ: Point(時点)の P は、過去の「地点」を指すピンのようなイメージです。一方、Time(時間)の T は、未来へ向かって進むストップウォッチのイメージで区別しましょう。
2. 試験対策の視点: 「どの時点の状態まで」「消失を許容できるデータの範囲」という表現があればRPOが正解です。システム構成の設計において、バックアップ装置の選定基準として登場します。

4. まとめ

「障害時にどの時点のデータまで戻せるかの目標」。これがRPOです。データの重要度が高いシステムほど、コストをかけてRPOを短く(=バックアップ頻度を高く)設定する必要があります。



【情報セキュリティ】防御不能の空白期間!「ゼロデイ攻撃」|情報処理問題1000本ノック

ソフトウェアの弱点が見つかってから、修正プログラム(パッチ)が配布されるまでの「無防備な時間」を突く、極めて対策が難しい攻撃を攻略しましょう。

1. 【 問題 】:ゼロデイ攻撃の定義

【 問題 】 ソフトウェアの脆弱性が発見された際、その修正プログラム(セキュリティパッチ)が提供されるよりも前に行われるサイバー攻撃を何と呼ぶでしょうか?

① ブルートフォース攻撃
② ゼロデイ攻撃
③ フィッシング攻撃
④ DoS攻撃

2. 正解:情報セキュリティの脅威に関する正解

正解: ② ゼロデイ攻撃(Zero-day Attack)

3. 解説:修正プログラムが出るまでの「空白期間」

ゼロデイ攻撃が恐ろしいのは、防御側が「盾(パッチ)」を持っていない状態で攻撃が始まる点にあります。

【図解:攻撃のタイムライン】

1. 脆弱性の発見:OSやソフトに、攻撃の糸口となる「穴」が見つかる。
2. 攻撃開始(Day 0)★ ゼロデイ攻撃! 開発者が修正プログラムを作る前に、攻撃者が穴を突く。
3. 脆弱性の公表:世の中に「危ない穴がある」と知れ渡る。
4. パッチの公開:ようやく修正プログラムが配られ、穴が塞がる。

◎ 名前の由来:パッチ公開(公表)から数えて「0日目(Zero-day)」、あるいはそれ以前に攻撃が始まることから。
[ ゼロデイ攻撃を防ぐための技術 ]
振る舞い検知(ヒューリスティック検知):過去のウイルスデータ(シグネチャ)に頼らず、プログラムの「不審な動き」を見てブロックする。
サンドボックス:隔離された仮想環境で一度実行してみて、安全か確かめる。

1. 理解のコツ: 泥棒が「最新の鍵の壊し方」を見つけたけれど、鍵メーカーが「対策済みの新しい鍵」を発売する前の状態です。家主がどれだけ用心深くても、鍵そのものに欠陥があるため防げない、というもどかしい状況を指します。
2. 試験対策の視点: 「パッチ公開前」「脆弱性公表前」「時間差を利用した攻撃」というキーワードが出たらゼロデイ攻撃です。対策として問われる「振る舞い検知」や「サンドボックス」もセットで押さえましょう。

4. 実戦4択クイズ(DS検定形式)

問:ゼロデイ攻撃に対する有効な防御策の一つとして、プログラムの「挙動」を監視して未知の脅威を防ぐ手法を何と呼ぶか。

① シグネチャ法   ② 振る舞い検知   ③ ホワイトリスト方式   ④ パケットフィルタリング

【 正解: ② 】

解説: 過去のウイルスデータと照合する「シグネチャ法」では、未知のゼロデイ攻撃は防げません。そのため、不自然な動きを察知する「振る舞い検知」が重要になります。

5. まとめ

「修正パッチが配布される前に行われる攻撃」。これがゼロデイ攻撃です。従来の「パターンマッチング」による防御をすり抜けてくるため、多層防御や最新の検知技術を組み合わせることが不可欠です。


【情報セキュリティ】甘い罠で敵を暴く!「ハニーポット」|情報処理問題1000本ノック

情報セキュリティの対策には、盾で守るだけでなく、あえて「隙」を見せて敵を観察する手法があります。攻撃者をおびき寄せる罠「ハニーポット」を攻略しましょう。

1. 【 問題 】:おとりのシステム

【 問題 】 サイバー攻撃を誘い出すために、意図的に脆弱性を持たせたり、価値のある情報があるように見せかけたりしたネットワークやシステムを何と呼ぶでしょうか?

① ファイアウォール
② 侵入検知システム(IDS)
③ ハニーポット
④ プロキシサーバ

2. 正解:セキュリティ対策技術に関する正解

正解: ③ ハニーポット(Honeypot)

3. 解説:あえて「隙」を作る目的

ハニーポット(蜜の入った壺)は、その名の通り攻撃者を誘い込み、安全な環境でその挙動を観察するための仕組みです。

【図解:ハニーポットの3つの役割】

■ 1. 攻撃の検知
・本物のシステムへの攻撃が始まる前に、囮へのアクセスで予兆を掴みます。

■ 2. 手口の分析(最重要!)
・攻撃者がどのようなツールを使い、どんな手順で侵入するかを詳細に記録します。

■ 3. 被害の回避
・攻撃者の関心を囮に向けさせることで、本物の重要データから遠ざけます。
[ 注意点とリスク ]
★ ハニーポット自体が完全に乗っ取られ、他組織を攻撃する「踏み台」にされないよう、外部への通信制限など厳重な管理(サンドボックス化など)が必要です。

1. 理解のコツ: 泥棒に入られる前に、あえて偽の金庫を置いておき、そこに隠しカメラを仕掛けておくようなものです。泥棒の顔や手口を安全に確認できます。
2. 試験対策の視点: 「意図的な脆弱性」「おとり」「攻撃を誘い出す」というキーワードが出たらハニーポットです。また、これによって得られた知見をスレットインテリジェンスと呼ぶ点もセットで覚えましょう。

4. 実戦4択クイズ(DS検定形式)

問:ハニーポットなどを活用し、攻撃者の技術や手法、目的などを分析した情報のことを一般に何と呼ぶか。

① インシデントレポート   ② スレットインテリジェンス   ③ ホワイトリスト   ④ デジタルフォレンジック

【 正解: ② 】

解説: 攻撃者の情報を収集・分析し、先回りして防御に活かす知見を「スレットインテリジェンス(脅威インテリジェンス)」と呼びます。ハニーポットはこの情報を得るための重要なソースです。

5. まとめ

「攻撃者を誘い出し、その手口を観察する罠」。これがハニーポットです。防御側が受動的になるだけでなく、能動的に敵の情報を掴みに行くための戦略的なツールです。


【情報セキュリティ】しらばっくれを許さない!「否認防止」|情報処理問題1000本ノック

「そんな操作はしていない」「メールは送っていない」といった主張を、客観的な証拠で退ける。取引の安全を守る「否認防止」を攻略しましょう。

1. 【 問題 】:セキュリティ特性「否認防止」

【 問題 】 情報セキュリティの要素の中で、実際にシステムで行った操作や取引に対して、「そんなことはやっていない」と後から主張(否定)することを防ぐ特性はどれでしょうか?

① 真正性(Authenticity)
② 否認防止(Non-repudiation)
③ 責任追跡性(Accountability)
④ 信頼性(Reliability)

2. 正解:セキュリティ管理に関する正解

正解: ② 否認防止(Non-repudiation)

3. 解説:デジタルな「証拠」の確立

否認防止とは、後からその事実を覆せないように、第三者にも有効な証拠を残しておくことです。

【図解:否認防止を支える3つの盾】

■ デジタル署名
・「誰が書いたか」を証明し、改ざんも検知します。本人の印鑑のような役割です。

■ タイムスタンプ
・「いつ、そのデータが存在したか」を証明します。郵便の消印のような役割です。

■ ログの保護
・操作記録そのものが書き換えられないよう厳重に管理することで、「証拠そのものの正当性」を担保します。
[ 真正性と否認防止の違い ]
真正性:今操作している人が「間違いなく本人である」こと(ログイン時の認証など)。
否認防止:過去に行った操作を「やっていないと言わせない」こと(署名の検証など)。

1. 理解のコツ: 重要な契約書に「実印」を押し、さらに「公証役場」で日付を入れてもらうようなイメージです。これがあれば、後で「私はそんな契約結んでいない!」と言い張っても通用しませんよね。
2. 試験対策の視点: 「事後に否定することを防止する」「デジタル署名の役割」というキーワードが出たら否認防止です。DS検定や情報処理試験では、CIAにこれらを加えた「7要素」の定義がよく問われます。

4. 実戦4択クイズ(DS検定形式)

問:デジタル署名を用いて、送信者が「確かにそのメッセージを送信した」ことを第三者が検証できるようにすることで実現されるセキュリティ特性はどれか。

① 機密性   ② 可用性   ③ 否認防止   ④ 効率性

【 正解: ③ 】

解説: デジタル署名の大きな役割の一つが「否認防止」です。送信者の公開鍵で署名を検証できるため、送信者は後から「送っていない」としらばっくれることができません。

5. まとめ

「操作の事実を客観的に証明し、否定させない」。これが否認防止です。オンラインバンキングや電子契約など、顔の見えないやり取りが当たり前の現代社会において、システムの信頼性を支える不可欠な要素です。


【情報セキュリティ】閲覧者のブラウザを乗っ取る!「XSS」の全貌|情報処理問題1000本ノック

攻撃の矛先はサーバーではなく、サイトを見に来た「あなた」。ブラウザという身近な場所で起こる深刻な被害を攻略しましょう。

1. 【 問題 】:XSS(クロスサイトスクリプティング)の被害

【 問題 】 Webアプリケーションの脆弱性を利用し、閲覧者のブラウザ上で不正なスクリプトを実行させる「クロスサイトスクリプティング(XSS)」によって引き起こされる被害として、適切なものはどれでしょうか?

① 閲覧者のブラウザに保存されているクッキー(セッション情報)が盗まれる
② 閲覧者のブラウザ上で、偽の入力フォームが表示され情報が入力させられる
③ 閲覧者の権限を利用して、Webサイト上で意図しない操作を行わされる
④ 上記のすべて

2. 正解:Webセキュリティに関する正解

正解: ④ 上記のすべて

3. 解説:なぜ「すべての被害」が起こるのか?

XSSの本質は、攻撃者が用意した「悪意のあるJavaScript」を、被害者のブラウザに「そのサイトの正規のプログラム」だと思い込ませて実行させることにあります。

【図解:被害のバリエーション】

■ クッキー(Cookie)の奪取
・ログイン状態を管理するセッションIDが盗まれ、攻撃者にアカウントを乗っ取られます。

■ 画面の改ざん(フィッシング)
・正規のサイトの一部を書き換えて「エラーです。再度パスワードを入力してください」といった偽のフォームを出し、情報を盗みます。

■ 意図しない操作の強制
・被害者が気づかないうちに、掲示板への書き込みや商品購入などのリクエストを勝手に送信させます。
[ 防御の決定打 ]
エスケープ処理(サニタイジング)<script>などのタグを、単なる文字列(&lt;script&gt;)として表示するように変換します。これが最も根本的な対策です。

1. 理解のコツ: サイトそのものが毒されているのではなく、サイトを訪れた人の「目の前の画面」に毒を盛る攻撃です。したがって、被害者は常に「そのサイトを見ている一般ユーザー」になります。
2. 試験対策の視点: 「ブラウザ上で実行」「JavaScript」「Cookie奪取」ときたらXSSです。OSコマンドインジェクション(サーバー攻撃)やSQLインジェクション(DB攻撃)と、「どこが攻撃対象か」を比較して覚えると完璧です。

4. まとめ

「閲覧者のブラウザを操作し、Cookieを奪ったり偽画面を出したりする」。これがクロスサイトスクリプティング(XSS)です。Webサイトを運営する側は、ユーザーを守るために徹底したエスケープ処理を実装する責任があります。