HOME»情報処理安全確保支援士掲示板»午後I  問2  設問2(1)

情報処理安全確保支援士掲示板


[0870]午後I  問2  設問2(1)

 hogehogeさん(No.1) 
午後I  問2  設問2(1) 

問題文 キャッシュカードの所持が確認されず、暗唱番号で照合されるだけなので、攻撃者が他人の氏名でアカウント作成を行い、他人の銀行口座と紐づけるリスク,,,

設問 「攻撃者はどのようにして他人の銀行口座との紐づけを成功させるか(2つ)」

の部分がどうしても回答がひねりだせず爆死した模様,,, 

私は「他人に成りすまして銀行口座を開設した」と回答し、2つめはほぼ空欄で提出。帰りの電車の中で落ち着いて見返しても全くわからず... こんな大喜利のような問題は過去問でもなかなか見かけずに困惑しています。みなさんどう回答されましたでしょうか?



2022.04.17 21:14
受験二回目さん(No.2) 
問3の設問2ですかね?
どのようにして紐付けるか、という問いだったので、私は
「口座番号や暗証番号を窃取し、その情報を利用して紐付ける。」
「アカウントを多数作成し、成功するまで総当たりで紐付ける。」
の2つを記入しました。
1つめはそのままの意味です。
下線1の後述を見ると、アカウント作成時に身元確認をすることで下線1の対策になることがわかるので、その観点から2つめを記入しました。(アカウント1つにつき、5回間違えるとその銀行で紐付けできなくなるが、アカウントが何個でも作れる状況なので)
2022.04.17 21:28
T.Yさん(No.3) 
この問題は難しかったですね。私は下記しか思いつきませんでした。
「不正に入手した口座番号と暗証番号を入力する」
「口座番号のみを入手し、暗証番号の入力を5回以内に成功させる」
2022.04.17 21:47
子育て中さん(No.4) 
自分は、
・総当たり攻撃で暗証番号を得て紐づける
・他サイトから流出した口座番号と暗証番号のリストを用いる
と回答しました…。
2022.04.17 21:50
 hogehogeさん(No.5) 
失礼しました。問3ですね。

偽アカウントを作成する段階で「氏名」は決めてしまっているので、後からそれに紐づける銀行口座の氏名は、偽アカウントの氏名と一致していないといけないですよね? とすると、偽アカウントと同じ名前の口座番号/暗証番号を入力しないといけないことから、紐づけ方法としては、

1) 偽アカウントと同じ氏名の銀行口座を作る
2) 偽アカウントの氏名と同姓同名のキャッシュカード情報を窃取する

しかないかと考えましたが、そうすると「キャッシュカードの所持が確認されず、暗証番号で照合されるだけなので..,」という原因と、上記1),2)のアクションがすっきりと「因果関係」になりません。

ということをツラツラ考えているうちに、袋小路に入ってしまいました...

2022.04.17 21:53
3度目の正直さん(No.6) 
1. 窃取した口座番号と暗証番号から紐付ける
2. 拾得したキャッシュカードから、暗証番号は推測

2.がちょっと苦しいか。
アカウントロックがあるので総当たりとは書けなかった。
2022.04.17 23:40
 hogehogeさん(No.7) 
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1. 窃取した口座番号と暗証番号から紐付ける
2. 拾得したキャッシュカードから、暗証番号は推測
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

私も2つめの答えは、不正取得したキャッシュカードの情報(口座名/口座番号/暗唱番号)を基に偽アカウントを作成するという主旨で回答しました。でもそうなると、先に不正アカウントを作成して他人の銀行口座を紐づけるという時系列が逆になってしまうので、不正解かと思料しています。

ともあれ、いろいろな方の回答を見るにつけ、正解が一意に導きだすことができない、クソ問題、大喜利問題ではないかと思います。悲しいかな、過去問でもこういう問題がたまに出題され、総評で「○○であることを理解して欲しかった」(そんなもん、理解できるかボケ!)的なオチで終わる問題があるので、その類と諦めています....

2022.04.17 23:54
間池留さん(No.8) 
この投稿は投稿者により削除されました。(2022.04.18 00:46)
2022.04.18 00:46
間池留さん(No.9) 
この投稿は投稿者により削除されました。(2022.04.18 00:46)
2022.04.18 00:46
ぽむさん(No.10) 
自分は偽のサイトを用意して、MITM攻撃を成功させるものとパスワードの総当たり攻撃にしました。

難しかったです。
2022.04.18 00:50
間池留さん(No.11) 
受験者の知恵を結集すれば新しい攻撃の解明につながるかも!

っていうIPAの願望があったりして。
2022.04.18 01:04
間池留さん(No.12) 
もしくは、犯人しか知らない手口を回答した受験者を容疑者リストに入れるとか
2022.04.18 01:38
tomexさん(No.13) 
>問題文 キャッシュカードの所持が確認されず、暗唱番号で照合されるだけなので、攻撃者が他人の氏名でアカウント作成を行い、他人の銀行口座と紐づけるリスク,,,
>設問 「攻撃者はどのようにして他人の銀行口座との紐づけを成功させるか(2つ)」

問題文が何を聞いているのか、よく解らなくて悩んでしまいましたね。
あまり良い問題では無い気がします。

キャッシュカードという物理的な認証がなくてよい。
→暗証番号とパスワードを手に入れたらOK
→どうやって手に入れるか
と解釈しました。

・偽サイトを用意して、入力させる。(フィッシング)
・本人から直接聞き出す。
という感じで解答しました。
2022.04.18 09:50
間池留さん(No.14) 
うーん

例えば、銀行の役員とかホムペ調べれば名前出てるし、絶対その銀行に口座持ってるよね。

暗証番号とかをその役員の誕生日で固定して
口座番号をリバースブルートかけるとかね。

銀行の役員でそんなにリテラシ低いのいるとは思えないけど。一人でもいればラッキーだよね。
2022.04.18 15:55
間池留さん(No.15) 
回答的には

暗証番号を他人の誕生日で固定し、口座番号を総当りで割り出す。

一人でも暗証番号を誕生日にしている人がいればこれで攻撃成立?
2022.04.18 16:05
間池留さん(No.16) 
丸一日考えて思いついたので、全然時間オーバーですね。。。
2022.04.18 16:45
水瀬さん(No.17) 
・総当りで暗証番号紐付ける
・DBにハッキングして不正に他人の口座情報を紐付ける

2番目だめですかね?
2022.04.18 17:14
間池留さん(No.18) 
でも、常識で考えたら、システム側で余裕で検知できるし、
銀行に問い合わせがいきすぎて余裕で気づかれますけどね。銀行のシステムで、口座番号、暗証番号、氏名を入力したら、認証の是非を返すAPIとかあるんでしょうかね?

でも、情報処理の試験は常識との闘い
(シチュエーションが常識ではないことが多々あるという意味で)
だったりしますからね。
2022.04.18 17:15
間池留さん(No.19) 
4回失敗ごとに、口座番号を切り替えて総当たり攻撃するというのもありか。。。
2022.04.18 17:37
間池留さん(No.20) 
自分が攻撃者だったらって視点だと、非効率な手法を回答するのは無意識に避けてしまいますね。。。
2022.04.18 17:58
 hogehogeさん(No.21) 
某掲示板を見ていると
1) 暗証番号(PW)を固定して口座番号(ID)を総当たり(リバースブルートフォース攻撃)
2) 他所で流出した口座番号(ID)/暗証番号(PW)でログイン試行(PWリスト攻撃)
っぽいですね... 

言われてみれば、確かにその通りなのですが、問題文中に適切な誘導やヒントがないと、不備っぽく書かれている「紐づける銀行に名前だけ共有する」の部分は何ら問題ないですし、「キャッシュカードの所持が確認されず、暗証番号で照合されるだけなので..,」との因果関係も分かりにくく、絶対に思いつかないです。(作問者は良いアイデア思いついた!状態だったと思いますが、あまりに一人よがり過ぎる.) 

「口座番号=ID, 暗証番号=PWとなることに気づいて欲しかった」で、チーンでしょうね。トリック解明問題ではないのだから、「変なギミックを弄することに意味はないことを気づいて欲しかった」です。
2022.04.19 18:22
3度目の正直さん(No.22) 
利用者の氏名も一致しないと成功しないので、リバースブルート攻撃は無理があるんじゃないかな
2022.04.19 18:50
 hogehogeさん(No.23) 
>>3度目の正直さん

でも遷移後の画面で、口座番号と暗証番号が合致しさえすれば紐づけられてしまうので、遷移に伴い「名前」だけを共有しようが、「名前・生年月日・住所その他諸々情報」を共有しようがそもそもその部分は解答に影響しない部分ということになります。

もし「ブルートフォース攻撃」「パスワードリスト攻撃」が正解だとすると、「名前だけの共有だけだとなんかマズよね」と錯覚させるためのフリ(ふるけどその部分は解答とは関係がない)ということになります。過去問を随分やってきましたがそういうミスリードを誘う不必要なトラップを仕掛けないという認識だったので、どうなんだと考えた次第でした。
2022.04.19 20:45
まっさんさん(No.24) 
・セッションハイジャックをおこなう
・口座番号と暗証番号が入力されたタイミングで攻撃者があらかじめ用意しておいた他人の口座番号、暗証番号を入力する
ではいかがでしょうか?
2022.04.19 22:15
 hogehogeさん(No.25) 
まっさんさん

こんばんは。
一つ目は×
二つ目は△(50-70%)くらいではないかと思料します。

アカウントロックを回避する方法として、他で流出して不正入手した口座番号/暗証番号の「リスト」を使って試行するするニュアンスがないので。少し減点になるのではないかと思いました。
2022.04.19 23:15
BIGBOSSさん(No.26) 
ITEC(アイテック)の解答速報(4月19日公開)によれば

1.不正に入手済みの他人の口座番号と暗証番号を入力する。
2.他人の口座番号と暗証番号を推測して入力する。

だそうです。

いわゆる受験のプロが考える模範解答でさえ
2.のように苦し紛れな内容ですから、やはり悪問かと。。。
2022.04.19 23:50
通りすがりさん(No.27) 
毎回おなじみの読解問題とすれば、
「キャッシュカードの所持が確認されず,暗唱番号で照合されるだけなので,攻撃者が他人の氏名でアカウント作成を行い,他人の銀行口座と紐づける」
というリスクを満たす手段が答えでは?
・事前に口座番号/暗証番号を入手する(方法:リストアタック、リバースプルートフォース、
  フィッシング...)
  ↑ができれば口座名義はログインできるのでわかりますよね。
・口座名義を氏名としてサービスアカウントを作る(いくらでも作れる)
数値4桁のパスワードの利用が多いものはある程度知れ渡っていますし、口座番号は銀行振込したことがあれば、推測は付くのでリバースプルートフォースも可能と推測しました。
順番って制約条件にありましたっけ?
2022.04.20 00:02
まっさんさん(No.28) 
セッションハイジャックしなければ代わりに操作を代行できないとおもうのですがいかがでしょうか?
その後に具体的な手法に移るかと思うのです。
MIIB攻撃などの事例からだとそうなるかと思うのです。
推測で銀行サイトなどに口座番号・暗証番号など入力する等本来はあり得ないと思うのですがさすがにスマートではないというかip制限されると思います。

・・・ちがうのかな?
2022.04.20 10:31
まっさんさん(No.29) 
問2(2)アイテック解答では、写真の様ですが、設問内に容貌の画像の記載があるのでちょっと違う気がします。
「マイナンバ」か「個人番号」かと思いました。
いかがでしょうか?
2022.04.20 11:27
 hogehogeさん(No.30) 
まっさんさん

1) 他人アカウントを作成 --> ログイン
2) 利用者は紐づけ銀行を選択
3) 銀行は受け取った氏名をキーに該当アカウントを検索し、口座番号/暗証番号入力画面を出す。
   (同姓同名の口座がある時はどっちを出すんだろ???)
4) 口座番号、暗証番号を入力

という流れで、ログイン自体は他人名義のアカウントに正規の手続きのログインと解釈しました。

2022.04.20 11:42
まっさんさん(No.31) 
うーん。腹落ちしません。
口座番号やら暗証番号やら推測でできないので、盗聴なりしておいてリストがないと無理だし、対象者のアカウントでログイン後他人の口座番号と紐づけしたかと思ったのですが・・それならセッションハイジャックでもいけそうな・・・
2022.04.20 13:45
間池留さん(No.32) 
氏名と誕生日(暗証番号)を固定

口座番号は総当たりでいける。暗証番号を誕生日に設定してる氏名(標的)が一人でもいれば。

ですので、相当な確率で。
2022.04.21 11:50
間池留さん(No.33) 
ただ、オンラインでリバースブルートフォースが正解だとすると、気の遠くなるほどの時間を要しますし、短時間で済まそうとすれば、DoS判定、銀行側も????ですよね。現実的とは絶対に言えません。

確かに、
試験をパスするためだけの回答は無意味なような気もします。
2022.04.21 12:13
monjya0401さん(No.34) 
この投稿は投稿者により削除されました。(2022.04.22 08:30)
2022.04.22 08:30
間池留さん(No.35) 
リテラシの高い人の視点だけではいけない。

一般ユーザの視点
開発者の視点
安全確保支援士の視点
攻撃者の視点

ある視点からはこんなの当たり前だろ?!
ということが、別の視点からは当たり前じゃなかったりする。

この試験の恐ろしいところは偏った視点の先入観が回答を鈍らせるところなんだよね。
2022.04.21 16:30

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2022 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop