HOME»情報処理安全確保支援士掲示板»H31春  午後1問2  設問2(3)

情報処理安全確保支援士掲示板

掲示板検索:

H31春  午後1問2  設問2(3)[0545]

ヤンさん(No.1)

始めまして

H31春  午後1問2  設問2(3)のIPAの回答が、よくわかりません。
同じスレッドを見つけましたが、そちらは期限切れなので、
別スレッドにて投稿させていただきます。

回答は、
「認証サーバXでオリジンbとオリジンsの一致を確認しているから」
ということですが、そもそも
1)攻撃者は秘密鍵Kを持っておらず、
2)ログインごとに乱数Cが変わるので、
正しい署名Mが生成できないのが回答になるのではないかと思います。
攻撃者が唯一取り得る攻撃方法としては、
前回盗聴した署名Mを使用するぐらいで、
この場合は、公開鍵Kで複合しても、
オリジンは一致しますが、乱数が一致しません。
秘密鍵を持たない攻撃者が自身で署名を作成するとは思えませんので、
オリジンを比較する以前の問題な気がします。

なにか勘違いしてますでしょうか?
よろしくお願いします。

2020.10.04 13:12
ヤンさん(No.2)

すいません。
少し頭を冷やしたら納得できました。
この問題の問いかけは、分かりにくいのですが、
攻撃者が利用者の名前を騙ってメールサーバにアクセスするのを防ぐ、
のではなく、
利用者が偽サイトにアクセスするのを防ぐ、
ということですね。
問題文では、メールサーバへの不正アクセスを防ぐこと、
となっていましたが、、、
まあ、偽サイトへのアクセスが前提なので、
まずは、そちらが先に起こる事象なのですが、、、

今回の例では、
偽サイトは、サーバ認証を回避するためにHTTPで通信し、
正当なサーバでは、HTTPSで通信をするので、
認証時にオリジンを比較すると、HTTPとHTTPSで違いが生じるということで、
攻撃者は、それを回避する術を持たない、
ということなのですね。

秘密鍵や公開鍵の考え方に捕らわれて失敗しました。
本番でも思いつきそうにはありません。

お騒がせしてすいませんでした。

2020.10.04 13:36
グルタミンさん(No.3)

この投稿は投稿者により削除されました。(2020.10.04 14:39)

2020.10.04 14:39
グルタミンさん(No.4)

ほぼご理解の通りかと思いますが、HTTPとHTTPSの違いが生じるというよりは、そもそも偽サイトはホスト名が違いますので、オリジンの比較はそちらの意味合いの方が強いかと思います

要求2には"手口Gの手法に限らず"、偽サイトへアクセスしてしまったときのフィッシングの手口によるメールサービスPへの不正アクセスを防ぐ事とありますし、フィッシングサイトの手法では、今回のように込み入った手法を使わずとも、あの手この手で似たようなドメイン名の偽サイトに飛ばして、利用者を騙すという手法も一般的です。

2020.10.04 14:40
ヤンさん(No.5)

グルタミンさんへ
ご解説ありがとうございました。
誰かに自分の理解を確認していただけるのは心強いです。
なるほどです。
確かに、実際の現場では、
HTTPとHTTPSの違いよりも、ホスト名の違いが起こることの方が、
多そうですね。
ご解説というよりも適切なご指導、ありがとうございました。

2020.10.04 21:37

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(20文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2020 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop