受動的攻撃(passive attack)とは、攻撃者がサーバーを直接攻撃する能動的攻撃とは異なり、Webサーバーの利用者に罠を仕掛けることで、罠を閲覧したユーザーを通してアプリケーションを攻撃する手法です。今回の3章-3 「受動的攻撃と同一オリジンポリシー」で取り上げられるのはこちらの手法になります。 上部で紹介した受動的攻撃のうち、本著で紹介されているパターンは以下3つです。 単純な受動的攻撃 罠サイトに利用者を誘導するパターンです。いわゆる「怪しいサイト」を利用者が閲覧してマルウェアに感染するケースになります。流れは下図になります。 現実に起きている例としては、Adobe Acrobat Reader DC・Adobe Flash Player・JREなどのプラグインの脆弱性をついた攻撃が頻繁に起きているようです。 正規サイトを悪用する受動的攻撃 正規サイトの罠が仕込まれるケースです