情報処理安全確保支援士掲示板


[0871]午後I叩き台

 受験二回目さん(No.1) 
皆さんの回答も知りたいです!

私は問2と問3を選択しました。
(文章問題はこんな感じで解いたというものなので、文字数は気にしないでください。)

問2
  設問1 
    (1)a:ア  b:エ
    (2)NAS-Aにアクセスされ、ファイルの窃取や改ざんをされる問題
    (3)PCからアクセスすることの出来ないファイルまで暗号化されていたから
  設問2
    (1)c:ディレクトリトラバーサル
    (2)d:OSコマンドインジェクション
    (3)e:ウ  f:ア  g:イ
  設問3
    (1)POSTは入力情報がボディ部に格納されるのに、ボディ部のログを取得していないから
    (2)業務で使用する必要のないtarコマンドのオプションを、実行できない設定にする(勘)
  設問4 h:stealth(勘)

問3
  設問1  a:イ
          b:ア
  設問2
    (1)「口座番号や暗証番号を窃取し、その情報で紐付ける」
        「アカウントを多数作成し、成功するまで総当たりで紐付ける」
    (2)c:顔写真
    (3)d:ウ  e:イ
    (4)f:身元確認対象者の氏名と生年月日
    (5)g:表示された数字を記入した紙を持ちながら顔写真を撮影
  設問3
    (1)スマートフォンが紛失及び盗難された場合
    (2)チャージまたは決済の度に、生体認証を行う
2022.04.17 21:36
SC初心者さん(No.2) 
問3
  設問1  a:イ
          b:ア
  設問2
    (1)「キャッシュカードの口座番号と暗証番号を盗聴し利用する」
        「キャッシュカードの口座番号と暗証番号の組で総当たりする」
    (2)c:顔写真
    (3)d:ウ  e:イ
    (4)f:署名用電証明書の正当性を検証
    (5)g:表示された数字を書いた紙と一緒に顔写真を撮影
  設問3
    (1)スマートフォンが物理的に盗まれた場合
    (2)決済時に認証の3要素のいずれかを用いて再度認証する

記述の内容は、受験2回目さんと概ね同じです。
ニュアンスというか細かい表現が難しいですね…
2022.04.17 21:51
sc初心者さん(No.3) 
問1
  設問1  
    (1) ア
   (2) プレースホルダ
   (3) 改行コード
  設問2
    (1)「urlのクエリ文字列内のプロジェクトIDを変更し、ページを更新する」
    (2) 「推測困難なセッション情報から、プロジェクトIDを取得するため」
    (3) ウ
    (4) stmt
    設問3
   プロジェクトID=?  AND 情報番号=?
2022.04.17 21:59
ラムネさん(No.4) 
問1
1.
(1)ア
(2)プレースホルダ
(3)改行コード
2.
(1)クエリ文字列のidに未参加のプロジェクトのプロジェクトIDを指定する。
(2)方式2では、利用者がプロジェクトIDを変更できないから
(3)エ
(4)stmt
(5)情報番号 = ? AND プロジェクトID = ?

問3
1.
a:イ b:ア
2.(後者は、一昨年くらいに警察の呼びかけの張り紙を思い出しながら...)
(1)・他人の銀行口座のキャッシュカードを不正に入手する。
 ・他人から氏名、口座番号及び暗証番号を電話等で聞き出す。
(2)顔写真
(3)d:ウ e:イ
(4)署名用電子証明書の正当性
(5)Qアプリが表示した数字を紙に書き出し、その紙の数字と自信の容貌を一緒に撮影
3.
(1)スマートフォンを紛失した場合
(2)スマートフォンの画面ロックの設定を必須とする機能
(最初は「「Qアプリの起動時に生体認証を行う機能」とか書いてましたが、機器に依存しそう...NFC機能のあるスマホの導入も渋ってたいましたし。)
2022.04.17 22:00
T.Yさん(No.5) 
特に記述部分は自信ないです。
問1
設問1
(1)ア
(2)プレースホルダ
(3)特殊文字
設問2
(1)GETリクエストのクエリ文字列を変更し、未参加のプロジェクトIDを指定する
(2)情報選択機能において、プロジェクトIDをチェックするため
(3)ア
(4)stmt
(5)情報番号=? AND プロジェクトID=?
2022.04.17 22:02
T.Yさん(No.6) 
設問2(3)はウでした。
2022.04.17 22:04
あああさん(No.7) 
静的プレースホルダにしちゃった。。。
ダメかな?
2022.04.17 22:17
nishさん(No.8) 
問2です。シンプルに考えたので正解かはわかりません。

設問1(2)インターネットからルータAの設定を変更することができる。
(3)/rootディレクトリ配下のファイルが暗号化されていたため。

設問3(2)wwwアカウントでsudoコマンドを使用する場合にはパスワード認証を行うようにする。
設問4  noindex
2022.04.17 22:38
nishさん(No.9) 
問3
設問3(2)アプリ起動時にパスワード認証を行う。
2022.04.17 22:41
ポンコツさん(No.10) 
対1の設問2(5)って主キーが情報番号だけだったので、それのみで良いのかなぁと思ったのですがどーなんでしょうか
2022.04.17 23:20
えいようドリンクさん(No.11) 
>ポンコツさん

僕も情報番号だけにしました。
テーブル構成見ると、プロジェクト管理テーブルと情報管理テーブルが1体多なので、情報番号だけでは不正解だと思います。
プロジェクトごとに情報番号0001があるような形だと思います。

プロジェクトaの情報番号0001
プロジェクトbの情報番号0002
2022.04.18 06:43
えいようドリンクさん(No.12) 
誤字ありましたので訂正です。

プロジェクトaの情報番号0001
プロジェクトbの情報番号0001
2022.04.18 06:45
SC初心者さん(No.13) 
> ポンコツさん
> えいようドリンクさん 

リレーションの問題じゃないのかなと思いました。(ポンコツさんの言う通り、情報番号で情報を一意に特定できると思います。ただ情報が利用者の属するプロジェクトIDのものでない場合には、このクエリは何も返さないと考えました。)
2022.04.18 08:08
えいようドリンクさん(No.14) 
>SC初心者さん
確かに複合主キーとは書いてないので一意のような気がしてきました。

また、問題文に、開発部員は一時期に一つのプロジェクトに参加し、複数のプロジェクトに参加しない。とあるので、情報番号だけが正解かもですね。
それだと嬉しい。
2022.04.18 18:23
kmtbecさん(No.15) 
記述は省略してメモしているので実際とはちょっと違います
問2
設問1 (1) ア 、 エ
      (2) Wan側からFW設定できてしまう
      (3)Rootも暗号化されている
設問2 (1) HTTPヘッダインジェクション  ←ディレクトリトラバーサルと悩む
      (2) OSコマンドインジェクション
      (3) ウ 、 ア 、 イ
設問3 (1) POSTしたデータがログのリクエストにない ←あまり意味がわかっていない
      (2) Rootにパスワードつける
設問4 Shadow ← Hideと悩む どちらも自信なし
2022.04.18 19:00
kmtbecさん(No.16) 
問3
設問1 イ 、 ア
設問2 (1)口座や暗証番号がわかっている氏名でアカウント作成  ←問題文に書いてあるけど・・・
         登録用のWebサイトのニセモノを用意する。
      (2)電子証明書      ←やってもうた
      (3) ウ 、 イ
      (4) 申込みデータの人物の実在
      (5) ランダムな数字と一緒にさつえい
設問3 (1)スマホ盗んで決済
      (2)アプリ起動時にスマホ本体の認証を行う
2022.04.18 19:05
さん(No.17) 
問2設問2の(3)は「アウイ」です  urlの遷移を見れば分かるかなと

@
"%2f"を"/"にデコード
URL:ttp://192.168.0.1/images/../status.cgi
A
絶対パスに直す
URL:ttp://192.168.0.1/status.cgi
B
/statusは除外リストに含まれていないため、このURLへのアクセスを防げる
2022.04.18 21:24
あつむ@SC初挑戦さん(No.18) 
この投稿は投稿者により削除されました。(2022.04.19 09:20)
2022.04.19 09:20
あつむ@SC初挑戦さん(No.19) 
問3の設問3、皆さんの答えを見ていたら
@スマホを盗まれた場合
A決済時にも認証
が正解っぽいですね…

わたし@QRコードを盗撮等で偽造
AQRコードに有効期限をつける
ってしちゃいました…部分点ないですかね…
2022.04.19 09:24
Sさん(No.20) 
問3の設問3、について
ログインした状態を維持する仕様のままとあるので、前後の回答に矛盾がない回答が要求されています。
よって
「QRコードが表示された画面を盗撮され不正使用される。」

「盗撮された画面が不定使用できないように、QRコードの有効期限を短く設定する。」

のペアであればログイン状態を維持しても問題ないと思います。

決済時に再認証するのであれば、ログイン状態を維持するのに矛盾が生じます。
2022.04.19 17:02
sodeさん(No.21) 
維持するログイン状態ってのはIDパスワード入れてSMS認証コード入力して・・・ってめんどくさい手順のほうで画面ロック解除みたいな簡単な手順を追加認証として使用時にやらせるって方法でいいんじゃないですか
題材のアプリでよく見るやつです
QRコード盗撮云々だと画面ロック関係なくやられるから下線2と矛盾が生じます
2022.04.19 17:41
Sさん(No.22) 
ログイン状態の解釈で、回答が不可能になるのは
悪問ですね。

ログイン状態の維持とはアプリがいつ起動しても使える状態と解釈したので、
本体を盗まれた場合は不正使用防止方法について、再認証による保護などは想定しませんでした。

画面ロックがないと、QRコードを盗撮されやすくなると盗撮されやすくなると
解釈をした受験者も多かったのではないでしょうか?
2022.04.19 18:05
sodeさん(No.23) 
今気づきましたがITECで午後1だけ解答速報出てますね。リンク貼れないので各自調べてください。
そっちだと追加認証が正解みたいです。
2022.04.19 18:20
やむさん(No.24) 

設問3(2)Webなどから遠隔でログアウトできるようにする。
としてしまった。。。

ちょうど携帯落としたときにGoogleのリモートログアウト使ったので実体験にひっぱられすぎました(泣)
2022.04.20 06:53
まっさんさん(No.25) 
画像のファイルを送る問題について
ランダムな数字をファイル名へ変更して送るのは現実的ではないのでしょうか?
識別できるのでいいのでは?と思うのですが・・・
2022.04.20 10:34
支援士見習いさん(No.26) 
そうなるといつだれが撮った写真に対しても詐称が可能になるのでは?
2022.04.21 08:24
まっさんさん(No.27) 
うーんjpegも改ざんは可能ですよ。Windowsがあればすぐに
どちらかというと即時性というかあまり時間をおかない事が大事な気がしますけど
2022.04.21 10:14
sodeさん(No.28) 
問題文にあった「政府が犯収法規則の改正において意見公募を実施した際の〜」の資料を確認したらランダム番号を紙に書いて一緒に撮るが正解ですね。
問題文に完全な方法はないが、とあるようにある程度のリスクは承知の上ってことでしょうか。ファイル名変更だけだと流石にリスクがデカすぎるかと。
2022.04.21 11:52
boboboさん(No.29) 
ファイル名の変更のみだけでは、事前に用意しておいた他人の画像利用が容易だと思います。
数字を記載した紙と一緒に写真を撮る方式なら多少ハードルが上がるかと(それでも編集ソフトを使えば数字を改ざんしたりも出来るでしょうが)
2022.04.21 12:13
まっさんさん(No.30) 

残念ですね。
普段からTwitterとかしてる人ならピンと来ると思うけど
なんか腑に落ちないです。
政府の資料ってIPAの脆弱性リストに載ってましたっけ?
身内だけ受かるように細工した?と思える悪問と思います。
過去問の意味ないと思ってしまいます。
時間返してほしい
2022.04.21 20:37
支援士見習いさん(No.31) 
解けなくて悔しい気持ちはわかりますが、
真っ当に勉強して普通に解答できた立場からすると、
「身内だけ受かるように細工」とか言われると違和感がありますね。

たとえココの解答をミスっていたところで、
過去問をきちんとやっていたら受かるレベルだと思いますが。。
2022.04.21 23:16
まっさんさん(No.32) 
あの、写真を送れとかどこの試験問題集にのっているのでしょうか?
何年の試験にあるのでしょうか?それやりますから・・・・本当に
人によってはヤマ感で行けたとか言うのはあるかと思いますがそれは勉強したこととは別に私生活において頭に入っていたからこそでは?と思います。

「身内だけ受かるように細工」とか言われると違和感がありますね
>いやそれって公官庁勤めの方なら自然と入ってくる情報だと思いますがどこにそんな記事あるのでしょうか?それ見ますから。IPAに乗ってます?
というかそれぐらい言いたくなりますよ。今回は
2022.04.21 23:30
sodeさん(No.33) 
身内云々は言ってる意味がわからんのでほっといて、資料がどこにあるかは問題文にある情報で調べられますので調べてください。
高度試験受けるレベルの人ならたどり着けるはずです。
この資料事前に読んでた人いないんじゃ・・・って思いますが。
2022.04.21 23:57
nonameさん(No.34) 
まっさんさん

悔しい気持ちはお察ししますが、他人を不快にさせる内容の投稿はやめましょう。ほとんどの人が知らない内容が問われているということは、論理的思考力を問うという意味では良問かもしれませんよ。実際の世ではも見聞きしたことのないトラブルに遭遇することなんてザラにありますので。資料がどこにあるのかは問題文中に明記してありますので、お調べください。
2022.04.22 00:15
支援士見習いさん(No.35) 
別にIPA公式刊行物でもない試験問題集や参考書が100%カバリングしてるはずないですし、
新しい知識・技術は参考書など以外にも自ら調べて身に付けるのが勉強だと思いますが。。

ちなみに、
ネット上でみれるIPAのPDF「情報セキュリティ10大脅威2020 しっておきたい用語や仕組み」の
6ページに以下の記載ありますし、
>「撮影された画像の真贋の判定や直
>近で撮影された写真なのかの確認等、サービ
>ス事業者にとって様々な課題があります。」

最新の情報セキュリティ白書の15ページでもドコモ口座のeKYCの件は書いてあります。

文句を言うのではなく、解けなかったところは徹底的に調べるぐらいした方が
今後のためにもなるのではないでしょうか?
2022.04.22 00:18
kmtbecさん(No.36) 
この問題。なかなか奥深いですね。
ランダムな数字と一緒に撮影ってのは、
2Chとかでは昔から行われている実在(所有)証明ですが、
実在の人物をもとにしたディープフェイクを用いた場合でも、
ランダムな数字は筆記に限るなどの条件であれば、
リアルに見える紙・筆記を生成するエンジンって聞かないので
それなりに有効な感じがします。

2022.04.22 08:16
まっさんさん(No.37) 
本当ですね。掲示物に乗っていました。
なるほど。無知でした。
提示いただいた箇所も含め研鑽に励みます。
ありがとうございました。また気を害される様に受け取られたのであれば失礼いたしました。
ただなんとかならんかなと皆思っていると思います。
2022.04.22 15:22

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2022 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop