応用情報技術者試験の過去問&キーワードを動画2443本の動画で解説!スキマ時間に動画!※2017年9月11日現在

PR広告

平成27年度秋応用情報技術者試験午後過去問 【必須】問1 情報セキュリティ 設問1

問1 情報セキュリティ

ソーシャルネットワーキングサービスのセキュリティに関する次の記述を読んで、設問1~3に答えよ。

 P社は、ソーシャルネットワーキングサービスの運営会社である。P社のサービス(以下、P-SNSという)は、約30,000人の会員が利用している。PCやスマートフォンのWebブラウザから簡単に日記や写真を登録できることが人気で、会員数を伸ばしつつある。

 〔P-SNSの利用方法〕

 P-SNSの利用には、会員登録が必要である。利用を希望するユーザは、会員情報として希望するアカウント名とパスワード、電子メールアドレス、ニックネーム、プロフィール情報(氏名、誕生日、年齢、性別、居住地)を入力し会員登録を行う。

会員登録をすると、P-SNS内にマイページが作成される。

 会員登録後は、アカウント名とパスワードを用いてP-SNSにログインし、日記や写真を登録して、マイページを更新する。

 P-SNSでは、マイページ内の日記や写真について、情報の公開範囲の設定が可能であり、P-SNS内に無制限に公開するか、特定の会員だけに公開するかを設定できる。ただし、日記や写真以外の情報については、公開範囲の設定ができず、P-SNS内に無制限に公開される。

 日記と写真を、P-SNS内に無制限に公開する設定にした場合、他の会員がPCのWebブラウザからアクセスしたときに見えるP-SNSのマイページのイメージを図1に示す。

平成27年度秋応用情報技術者試験午前過去問1

〔P-SNSのアカウント名とパスワードの設定ポリシ〕

 P-SNSでは、アカウント名とパスワードの設定ポリシを図2のように定めており、設定ポリシを満たさないアカウント名やパスワードは設定できないように、会員登録時やパスワード変更時に入力チェックが行われる。

アカウント名の設定ポリシ

 ・アカウント名長は、6文字以上32文字以下

 ・利用可能な文字は、半角英数字

 ・他の会員と重複したアカウント名の設定は不可

パスワードの設定ポリシ

 ・パスワード長は、6文字以上32文字以下

 ・利用可能な文字は、半角英数字、記号文字

 ・英大文字、英小文字、数字のうち少なくとも2種を組み合わせた文字列

図2 アカウント名とパスワードの設定ポリシ

〔不正ログインの発覚〕

 ある日、会員のQさんからP社に、"情報の公開範囲の設定が勝手に変更され、日記や写真が無制限に公開されている"とのクレームが入った。

 そこで、P社カスタマーサポート担当のR君が、Qさんのアカウントの利用状況調査を行うことになった。

 まず、R君がアクセスログからログイン状況を調査したところ、クレームの前日に、Qさんのアカウントでログインを試みるアクセスが100回あったことを確認した。

 そのうち、99回はパスワード誤りによってログインが拒否されており、最後の1回でログインが成功していた。

 また、Qさんへのヒアリングから、Qさん自身はこの日にログインしていないことが分かった。そこで、R君は、Qさんのアカウントが第三者による不正ログインに使用されたと判断し、Qさんのアカウントの利用を停止し、P-SNSの全会員に不正ログインの事件発生について注意喚起の案内を行った。

 次にR君は、Qさんへのヒアリングから、設定されていたパスワードが氏名と誕生日を組み合わせた単純なものであったことが判明したので、今回の攻撃はa である可能性が高いと判断した。また、アカウント名とパスワードの組み合わせが第三者に知られたことから、bに備えて、P-SNSと同じパスワードを設定している他のサービスについてもパスワードを変更するように、Qさんにアドバイスした。

〔不正ログインに対する調査〕

 R君は、Qさん以外の会員のアカウントに対する不正ログインについても調査を行った。

 その結果、Qさんの場合と同様の100回程度のログイン試行の記録が幾つか見つかった。

 R君は、P-SNSのマイページには、①公開範囲の設定ができない情報の中にこれらの攻撃の足掛かりとなるものがあり、不正ログインにつながるリスクが高いと考えた。

〔不正ログイン対策の検討〕

R君は、不正ログイン対策として、次の三つの対策を検討した。

対策1:アカウント名とパスワードの設定ポリシを見直して、悪意をもった第三者がP-SNSに不正ログインしにくくする。

対策2:パスワード誤りによってログインが一定の回数拒否された場合、アカウントの利用を自動的に停止する機能を追加する。

対策3:悪意を持った第三者が、P-SNSに不正ログインできないように、アカウント名とパスワードによる認証に加え、Cookieによる認証を追加する。

対策3を採用した場合の、会員登録から初回ログインまでの手順を図3に示す。

平成27年度秋応用情報技術者試験午前過去問3

 ユーザがWebブラウザを用いて会員登録機能から会員登録を行うと、Cookie発行機能のURLが記載された電子メール(以下、メールという)がCookie発行メール送信機能から送信される。ユーザは、メールソフトを用いてメールを受信し、メール内に記載されたURLからCookie発行機能にWebブラウザを用いてアクセスする。ユーザがアカウント名とパスワードを入力し認証が完了すると、ログイン用Cookieが発行される。Cookie発行機能のURLは、登録した会員一人一人にメールを送信する都度、異なるものが発行され、メールの送信から1時間だけ有効である。また、発行されたログイン用Cookieの有効期間は半年間とし、ログインするたびに有効期間がその日から半年間に更新される。

 会員がP-SNSにログインするときには、会員が入力するアカウント名とパスワードとともにログイン用Cookieがログイン機能へ送信される。ログイン機能では、送信されたログイン用Cookieがその会員に発行されたログイン用Cookieと異なる場合にはアクセス拒否をする。会員が利用端末を変更したい場合やCookieの有効期間が過ぎた場合には、Cookie発行メール送信機能に対して、Cookie発行機能のURLが記載されたメールの送信を要求する。その後、会員登録時と同様にログイン用Cookieを入手する。

 なお、P-SNSの通信は暗号化し、悪意を持った第三者が盗聴しても必要な情報を入手できないようにする。その後R君は、アカウントへの不正ログインの足掛かりとなった情報を全会員のマイページから削除するとともに、Cookieによる認証機能の導入を行った。

設問1 本文中のab に入れる適切な字句を解答群の中から選び、記号で答えよ。

aに関する解答群

  • ア DoS攻撃
  • イ サイドチャネル攻撃
  • ウ 標的型攻撃
  • エ 類推攻撃

bに関する解答群

  • ア ゼロデイ攻撃
  • イ 総当たり攻撃
  • ウ パスワードリスト攻撃
  • エ フィッシング攻撃

解説

abに関わるのは次の文

〔不正ログインの発覚〕

 ある日、会員のQさんからP社に、"情報の公開範囲の設定が勝手に変更され、日記や写真が無制限に公開されている"とのクレームが入った。

 そこで、P社カスタマーサポート担当のR君が、Qさんのアカウントの利用状況調査を行うことになった。

 まず、R君がアクセスログからログイン状況を調査したところ、クレームの前日に、Qさんのアカウントでログインを試みるアクセスが100回あったことを確認した。

 そのうち、99回はパスワード誤りによってログインが拒否されており、最後の1回でログインが成功していた。

 また、Qさんへのヒアリングから、Qさん自身はこの日にログインしていないことが分かった。そこで、R君は、Qさんのアカウントが第三者による不正ログインに使用されたと判断し、Qさんのアカウントの利用を停止し、P-SNSの全会員に不正ログインの事件発生について注意喚起の案内を行った。

 次にR君は、Qさんへのヒアリングから、設定されていたパスワードが氏名と誕生日を組み合わせた単純なものであったことが判明したので、今回の攻撃はa である可能性が高いと判断した。また、アカウント名とパスワードの組み合わせが第三者に知られたことから、bに備えて、P-SNSと同じパスワードを設定している他のサービスについてもパスワードを変更するように、Qさんにアドバイスした。

上記文章の中に「設定されていたパスワードが氏名と誕生日を組み合わせた単純なもの」とあり何度もログインを試していることから、第三者はパスワードを類推してアクセスを試みたと考えられます。

従ってa の答えは「エ 類推攻撃」です!

アカウント名とパスワードが知られると、第三者はその組わせをリスト化する可能性があります。一般的にアカウント名とパスワードを様々なサービスで利用していることも多々あります(一つ一つ別にしていたら、管理が大変です)。その心理を逆手に取り、アカウントとパスワードをリスト化し、他のサイトでも試して不正アクセスをすることを「パスワードリスト攻撃」と言います!

従ってbの答えは「ウ パスワードリスト攻撃」です!

平成27年度秋応用情報技術者試験午後過去問 【必須】問1 情報セキュリティ 目次

平成27年度秋基本情報技術者試験過去問 午後 目次

業務経験がない組込みシステム開発の解説は控えさせていただきますご了承ください。


タグ: ,,,,,

PR広告

フェイスブックコメント

難解な応用情報技術者試験午前で80点中48点を取る優しい方法

平成28年度春 応用情報技術者試験 午後 テキスト・動画解説

平成28年度春 応用情報技術者試験 午後 動画解説再生リスト

平成28年度春 応用情報技術者試験 午前 テキスト・動画解説

平成28年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成27年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度春 応用情報技術者試験 午後 テキスト・動画解説

平成27年度春 応用情報技術者試験 午後 動画解説再生リスト

平成27年度春 応用情報技術者試験 午前 テキスト・動画解説

平成27年度春 応用情報技術者試験 午前 動画解説再生リスト

平成26年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成26年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成26年度春 応用情報技術者試験 午前 テキスト・動画解説

平成26年度春 応用情報技術者試験 午前 動画解説再生リスト