HOME»情報処理安全確保支援士掲示板»令和2年秋  午後1問1
投稿する

令和2年秋  午後1問1 [0916]

 ささみんさん(No.1) 
設問3(2)の修正後の処理について質問があります。


正解は「2-aと同じメッセージを表示する」となっていますが、
これはつまり「決済アプリは、“電子メールを送信しました。”と表示する。」
と言うことでしょうか?

またこの場合、正解の修正後の処理にメールの内容が書かれていないことから、
実際には電子メールを送らないのでしょうか?


ご回答よろしくお願いします。


問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_qs.pdf

解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_ans.pdf
2022.09.04 13:50
pixさん(No.2) 
SC ダイヤモンドマイスター
>これはつまり「決済アプリは、“電子メールを送信しました。”と表示する。」
>と言うことでしょうか?
攻撃者の目的はスクリーニングです。
同じメッセージを表示することにより攻撃者は登録済か未登録かの判断が
できなくなります。

>またこの場合、正解の修正後の処理にメールの内容が書かれていないことから、
>実際には電子メールを送らないのでしょうか?
以降の処理はオプションになりますので、いろいろなケースが考えられます。
・メールを送信しない、運用者もなにもしない
無害と判断し、本当になにもしません

・メールを送信しない、運用者はスクリーニングを検知して対応する
運用者はスクリーニングされていることを検知して次のアクション(アクセス調査・
ログ解析など)を行います

・メールを送する、運用者はスクリーニングを検知して対応する
運用者の対応に加えて、メール受信者に「登録処理が再実行されているが
心当たりがあるか」や「攻撃の可能性があるのでパスワードの変更を推奨」を促す
メールを送信したりします
2022.09.05 11:53
 ささみんさん(No.3) 
pixさん

詳しい解説をありがとうございます。おかげさまで状況がよく分かりました。


一つ腑に落ちないのですが
メールを実際に送らない場合
メールアドレスの持ち主が(一度登録したことを忘れていたりして)
同じメールアドレスで2回目の登録をしようとした場合、
送信されたといわれたメールが届かないので
混乱するのではないかと心配です。

これは仕方ないのでしょうか?
2022.09.05 20:06
pixさん(No.4) 
SC ダイヤモンドマイスター
>これは仕方ないのでしょうか?

仕方ないと思います。
逆に攻撃者によって短時間で同じメールアドレス登録が何回も実行される場合も
考えられます。
この場合はすべてメールを送信してしまうと、スパムメールになるという
望ましくない状況になります。

もし、運用側がこの問題に対処するのであれば、メール登録処理にリスクベース
認証機能を実装することが解決策として適切と思われます。

最後にログインした際の接続元IPアドレス、端末情報を記録しておきます。
再登録時に接続元IPアドレスから推測される地理的情報や、端末情報が
同じであれば、正規の登録とみなし「すでにメールアドレスが登録されて
いる」内容のメールを送信します。

それ以外の場合、特に地理的情報が海外の場合は高確率で不正アクセス、スク
リーニングである可能性が高いため、メールを送信しないというのが適切な
対処になると思われます。
2022.09.05 20:31
 ささみんさん(No.5) 
pixさん

さらに詳しい解説をありがとうございます。
非常にスッキリしました。

スパムメールになってしまう可能性やリスクベース認証実装での対応など
今回の事例での利用について詳しく説明いただいたおかげで
今まで勉強してきた「点」や「線」の理解が、「面」にまで拡がった気がします。

ありがとうございました。
2022.09.06 11:03

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop