HOME»情報処理安全確保支援士掲示板»令和4年春午後1問3設問2(1)と設問3(2)
投稿する

令和4年春午後1問3設問2(1)と設問3(2) [1035]

 akiさん(No.1) 
設問2(1)は二つの方法を例示させる問題なのですが、IPAの模範解答は「漏えいしている口座番号と暗証番号を悪用する方法」「口座番号と暗証番号をだまして聞き出し、悪用する方法」とあります。わざわざ2つ解答させる割には、他人の口座番号と暗証番号の組を不正に入手し悪用するという点で共通しており、肩すかしを食った印象を持ちました。
  私の解答は「①他人名義の口座番号と暗証番号を入手し当該名義人になりすます」「②自分と同じ氏名の他人の銀行口座を総当たりで見つけ出す」としました。①は模範解答と同じ発想で、②は偶発的に成功するかもしれない方法をひねりだしました。
問題の意図として不正入手の方法の部分を2種類書かせるような問題だとはおもわなかったのですが、問題文で読み取るポイントがあればアドバイスいただけたらと思います。逆に「聞き出す」方法のほかに「盗み見る」を両方書いても正解だったのかな?とか。また②について正解となるかどうかご意見いただけますと幸いです。

設問3(2)について、模範解答の「PINコードで利用者を認証」という部分は、設問にある「Qサービスにログインした状態」との状況設定にあわないように感じました。私は、Qアプリの立ち上げ前で、かつPINコードで利用者を認証する前の状態は「Qサービスにログインした状態とは言えない」と思えてしまい、今の理解のままだと類似問題がでても模範解答を導くことは難しそうに思います。
認証の概念、PINコードの概念を間違って理解しているのでしょうか。

ちなみに私の解答は「QRコードの有効期間を数分程度の短時間に設定する」としていました。実際のアプリで実装されている機能を思い浮かべたのですが、後に正解ではないことは理解しました。
2023.03.14 08:42
pixさん(No.2) 
SC ダイヤモンドマイスター
>設問2(1)
スレ主様の解答「①他人名義の口座番号と暗証番号を入手し当該名義人になりすます」と
下線①「他人の銀行口座との紐づけを行う」は言い方は異なりますが、同義の内容に
思えます。

「①他人名義の口座番号と暗証番号を入手し当該名義人になりすます」という解答では
具体的な方法について述べられておりません。ここからさらに発展させて、具体的な
内容を解答する必要があります。
そのため、IPAの模範解答のように
「漏えいしている口座番号と暗証番号を悪用する方法」
「口座番号と暗証番号をだまして聞き出し、悪用する方法」
が解答になると考えられます。

「②自分と同じ氏名の他人の銀行口座を総当たりで見つけ出す」という解答ですが、
機能:「銀行口座との紐づけ」の最後に「連続して認証に5回失敗すると、当該講座
との紐づけができなくなる。」と記載があります。
この機能により偶発的に他人の銀行口座との紐づけを行うことは難しいと考えられます。

>問題文で読み取るポイントがあればアドバイスいただけたらと思います。
SCの問題は基本的に本文中にヒントがあります。しかし、ごく稀にヒントがない
知識解答型の問題が出題されることがあります。本問はそれと思われます
本問は犯収法規則の知識が必要と思われます。もし犯収法規則の知識がない場合は
セキュリティの一般論から「窃取」と「詐取」という言葉を引き出す問題になると
思われます。

>設問3(2)
>認証の概念、PINコードの概念を間違って理解しているのでしょうか。
認証:一般用語の本人確認という言葉を専門用語で表現したもの
PINコード:暗証番号 この場合はスマートフォンに設定してある暗証番号

Qサービスの認証には「利用者ID」と「パスワード」が用いられます。
スマートフォン利用の認証として「PINコード」が設定されます。
この2つは似て非なるものです。
PINコードはあくまでスマートフォンの利用に関してのものであり、
Qサービスの認証には利用されておりません。
2023.03.14 12:18
 akiさん(No.3) 
pixさま
いつも丁寧で示唆に富む解説コメントありがとうございます。

IPAの模範解答2つの類似性の件
搾取:だまし取る
窃取:盗み取る
については違いをそれほど意識したことはありませんでした。二つ解答する趣旨が窃取のケース、搾取のケースをそれぞれひとつずつと解釈できたら正答(模範解答)に至ったかもしれないなと思いました。良い気付きとなりましたありがとうございました。

「②自分と同じ氏名の他人の銀行口座を総当たりで見つけ出す」という解答案の件
Qサービスへのログインで5回認証に失敗するとアカウントがロックされるのに対し、口座番号の認証に失敗してもアカウントがロックされるわけではなく、単に当該口座との紐づけが出来なくなるに過ぎないという点に着目したつもりでした。
つまりブルートフォース攻撃でアカウントロックが有効な対策であるのに対しリバースブルートフォース攻撃に対する防衛策としては十分ではない、ということを応用的に問われていると解釈したのですが、いかがでしょうか。
確かに一口座あたり試行できるのは5回までなので、仮に同姓同名の人の口座にアタックをかけても成功確率は10000分(数字4桁暗証番号の総数)の5なので運に任せる要素が強い攻撃ではありますが、サービス提供側が受容するには高い確率と感じました。

設問3(2)の件
PINコードはそもそもデバイスの話、スマートフォンの話と理解できていたら、場面設定もすんなり理解できたと思いました。PINコードをQサービスと結びつけてしまいました。説明を聞くと初歩的な勘違いだったなと実感します。ありがとうございました。
2023.03.15 09:30
pixさん(No.4) 
SC ダイヤモンドマイスター
>つまりブルートフォース攻撃でアカウントロックが有効な対策であるのに対し
>リバースブルートフォース攻撃に対する防衛策としては十分ではない、
>ということを応用的に問われていると解釈したのですが、いかがでしょうか。

SCの過去問でリバースブルートフォース攻撃の対策を問う問題もありました。
通常のブルートフォース攻撃対策は一定回数認証失敗でアカウントをロックするのが
基本です。
リバースブルートフォース攻撃対策は、システム全体(全てのアカウント)での認証
失敗の数を単位時間当たりで監視するというものです。
例として、1時間当たりシステム全体で認証失敗が1000回以上発生した場合は
リバースブルートフォース攻撃が発生していると判断するというものです。

以上のようにリバースブルートフォース攻撃も対策が可能かつ、検出される
リスクが高いです。
それと比べると、「窃取」や「詐取」はシステムを介さない人間的な活動なので
「窃取」や「詐取」自体が行われていることを知覚するのは非常に困難です。

SCの学習をしていると、システム的な観点で脆弱性をとらえがちです。
しかし本当の脆弱性は脅威となる人物によって引き起こされますので、
人間心理の側面からどのような攻撃が行われるかを考慮するのが重要です。
2023.03.15 12:02
 akiさん(No.5) 
ありがとうございます。
2023.03.15 13:09

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop