投稿する

何の偽サイト? [1201]

 fukuさん(No.1) 
H31春  午後1問2  設問2(1)の設問にある「偽サイト」とはメールサービスPの偽サイトではなく、認証サーバXの偽サイトのことでしょうか?
2023.09.04 14:51
pixさん(No.2) 
SC ダイヤモンドマイスター
SCの問の中でも本問は以前より不明点が多く、いまだ細部について謎が多いです。
最近でも以下のスレッドで本問の不明点を議論していましたので、参考にしてみて
ください。
[1197] H31春  午後1問2  設問3(3)
https://www.sc-siken.com/bbs/1197.html

設問2(1)の設問にある「偽サイト」は認証サーバXの偽サイトと考えられます。
理由ですが、設問2(1)は中間者攻撃に対しての処理の説明です。
実際には図4のWebブラウザ - 認証サーバX間で攻撃者が割り込むことになるからです。

回答としてはこれで十分ですが、実際にどうやって攻撃者が中間者攻撃を行うか
についてはいまだ謎が残っております。
本問の前段で、偽のDNSサーバやWebサイト、スキームの違い(HTTP or HTTPS)について
色々論じています。
しかし、認証サーバXの偽サイトへの誘導方法についてIPAは言及していないので、
具体的な攻撃方法についてはいまだ不明となっております。
2023.09.04 15:29
 fukuさん(No.3) 
ありがとうございます。
模範解答をみると「偽サイト」は認証サーバXの偽サイトと解釈しないとつじつまが合わないなと思いました。要求2の文中にある「偽サイト」は、メールサービスPのことのように読めたので、状況把握で完全に混乱しておりました。1197も参考にしてみます。
2023.09.04 15:56
 fukuさん(No.4) 
>認証サーバXの偽サイトへの誘導方法についてIPAは言及していないので、
>具体的な攻撃方法についてはいまだ不明となっております。
について再度問題文を読んでみたところ、問題文中に、メールサービスPにアクセスしようとしたとき他のID管理サービスにリダイレクトされ…と書いてありました。
要求2の文中の「偽サイト」はやはりメールサービスPの偽サイトのことで、メールサービスPの偽サイトからのリダイレクト処理により認証サーバXの偽サイトに誘導、なのかなと思いました。

要求2文中の「偽サイト」はメールサービスPの偽サイト
設問2(1)の設問にある「偽サイト」は認証サーバXの偽サイト

と考えて、納得した気分になってます!
2023.09.04 16:39
pixさん(No.5) 
SC ダイヤモンドマイスター
>要求2文中の「偽サイト」はメールサービスPの偽サイト
>設問2(1)の設問にある「偽サイト」は認証サーバXの偽サイト
おおむね、そのような理解でよろしいのではと思います。
この点に関して、過去から議論が何回もされております。
あえて文章を国語的に解釈すると以下のような判断になると思われます。

・広義の偽サイト:
「メールサービスPの偽サイト」と「認証サーバXの偽サイト」の2つを併せたもの
要求2で語られているのはこちらと思われる。

・狭義の偽サイト:
「認証サーバXの偽サイト」
設問2(1)で語られているのはこちらと思われる。
これは解答「OTPの入力を要求し、OTPを認証サーバXに中継する処理」から
つじつまが合うように導き出されたものである。

以上のように「偽サイト」という言葉が微妙に違うニュアンスで用いられているため
過去同様の疑問を持つ方が大勢いたと推測されます。

一旦このような推論が立つのですが、この点に関してこれ以上追求しても詮なき
事と思われます。そのため、最終的な解釈は読み手次第ということになります。
2023.09.04 17:19

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop