情報処理安全確保支援士2020年(令和2年)午後1問1(1,416 文字)
問題冊子、解答例、採点講評はこれ
本文(設問1)
問題文(設問1)
解説(設問1)
(1)は16桁の会員番号をバーコードにして、それを読み取って決済をするアプリにおいてどのような手段でなりすまして決済ができるか。
それはつまり他人の会員番号がわかればそれをバーコードにして表示することでその人として決済ができるということに他なりません。
アプリ側の問題は?と聞かれるといろいろある気もしますが、ろくに保護されていない会員番号をキーにしていることはとりあえず指摘できます。
答え
手段1 : 他者のバーコードを会員番号から推測して表示する。
手段2 : 他者の会員番号を窃取してバーコードを生成し、決済する。
問題1 : バーコードの内容が会員番号であること
問題2 : バーコードが永続的に利用できること
(2)はQRコードを検証する際に秘密鍵で会員番号、乱数、時刻を基にしたHMAC値βを計算し、[a]をしてから時刻や過去と異なることを確認するという流れの穴埋め。検証というと二つを比較して一致を見るといった使い方が多いですが、ここでも同様で、生成時に作ったHMAC値αと同じであることを確認する必要があります。
答え HMAC値αとHMAC値βの一致を検証する。
本文(設問2)
問題文(設問2)
解説(設問2)
(1)は表6項番2~4の問題を抱えた無線LANに対し、攻撃者が表5の設定をどう変えると攻撃者の用意したサーバにアクセスさせられるか。要はIPアドレスの名前解決の時に攻撃者のサーバに遷移させればいいので、DNSサーバ(い)で設定するIPアドレスを変えたらいいです。
答え い 攻撃者のDNSサーバのIPアドレス
(2)はサーバ証明書の穴埋め。サーバー証明書の検証は有効期限の確認などもありますが、ここではホスト名検証が問題になっています。要は接続先とサーバー証明書のホスト名の一致を見たいというもので、CN(Common Name)とSAN(Subject Alternative Name)に記載されたホスト名に、接続先のホスト名が含まれていればOKとなります。ただ、SANがある場合はSANだけを見る(CNは見ない)ということで、以下の答えとなります。
答え b : オ, c : FQDN, d : イ
本文(設問3)
問題文(設問3)
解説(設問3)
(1)はスクリーニング(攻撃者の手元にあるパスワードリストから無効なものを取り除くこと)はどのように実施するか。パスワードリストと書いてあるから文字通りパスワードなのかと思うけれどここではメールアドレスリストに読み替える必要があります。そして読み替えられたら表3よりメアドが登録されているかどうかでエラーが出たりでなかったりするので、これを頼りにスクリーニングができることがわかります。
答え メールアドレスが会員登録されているかどうかで表示が異なるという挙動
(2)は(1)防止で何をするかですが、表示内容が違うのが悪いんですから2-bのメッセージを2-aに合わせれば解決です。
答え
修正すべき処理 : 2-b
修正後の処理 : 2-aと同じメッセージを表示する。
終わりに
やや難
知識問題と引っ掛けありという印象
にしても過去一酷いセキュリティだったなと思います
主な参考サイト
13.11.4 サーバ証明書の検証
【情報処理安全確保支援士】令和2年度 10月試験 午後Ⅰ 問1解説【YouTube解説動画あり】