HOME»情報処理安全確保支援士掲示板»令和4年度春季試験 午後1 問3について
投稿する
令和4年度春季試験 午後1 問3について [1873]
だいけいさん(No.1)
タイトルにある問題の設問2の(1)について、攻撃者が他人の銀行口座と紐付ける方法についての質問です。
私は「暗証番号を固定し、口座番号を総当たりで試行する」と書きました。模範解答にはありませんでしたが、以下の根拠から正しいと思っております。アドバイスやご指摘をお願いいたします。
根拠:
問題1枚目の表1中の「銀行口座とのひも付け」の(3)で「連続して認証に5回失敗すると、当該口座とのひも付けができなくなる」とあります。
口座を一意に定めるのは口座番号です。なので、口座番号を固定し暗証番号を総当たりすると「(口座番号に指定される)当該口座」はロックされますが、暗証番号を固定し口座番号を総当たりすると「(口座番号に指定される)当該口座」はそれぞれ1回ずつしか試行されず、ロックされません。
以上より、上記のように回答いたしました。
私は「暗証番号を固定し、口座番号を総当たりで試行する」と書きました。模範解答にはありませんでしたが、以下の根拠から正しいと思っております。アドバイスやご指摘をお願いいたします。
根拠:
問題1枚目の表1中の「銀行口座とのひも付け」の(3)で「連続して認証に5回失敗すると、当該口座とのひも付けができなくなる」とあります。
口座を一意に定めるのは口座番号です。なので、口座番号を固定し暗証番号を総当たりすると「(口座番号に指定される)当該口座」はロックされますが、暗証番号を固定し口座番号を総当たりすると「(口座番号に指定される)当該口座」はそれぞれ1回ずつしか試行されず、ロックされません。
以上より、上記のように回答いたしました。
2025.04.03 07:56
あーるさん(No.2)
個人的には不正解かなと思います。
表1の「銀行口座との紐づけ」の欄に、次のような記述があります。
そして攻撃者は、ある特定の個人になりすまし、その人の氏名を使ってアカウントを登録しているので、その人の口座情報を入れないと、認証ではじかれることになります。
スレ主さんの方法では、口座番号と暗証番号の組は正しい組み合わせで試行できるかもしれませんが、それが攻撃者がなりすましている人物の口座情報である可能性は極めて低いため、紐づけはできないと考えます。
表1の「銀行口座との紐づけ」の欄に、次のような記述があります。
選択された銀行には、利用者を認証するために、Qサービスを介してアカウント情報の氏名が提供される。
この記述から、紐づけにはアカウントの作成時に入力した氏名と、入力した口座を利用している人の氏名が一致する必要があるということが分かります。そして攻撃者は、ある特定の個人になりすまし、その人の氏名を使ってアカウントを登録しているので、その人の口座情報を入れないと、認証ではじかれることになります。
スレ主さんの方法では、口座番号と暗証番号の組は正しい組み合わせで試行できるかもしれませんが、それが攻撃者がなりすましている人物の口座情報である可能性は極めて低いため、紐づけはできないと考えます。
2025.04.03 11:40
だいけいさん(No.3)
あーる さん
確かにおっしゃるとおりですね。
ありがとうございました!
確かにおっしゃるとおりですね。
ありがとうございました!
2025.04.03 18:09
橙色文書さん(No.4)
★SC ブロンズマイスター
この設問2(1)は午前問題のように正解が用意された普通の問題ですが、回答例と全く違う答案でも正解になるのは設問2(5)です。実際に採点されてそう確信しました。
設問2(5)は専門知識がなくとも思考力さえあれば解けますので、"警視庁及び共管各官庁の考え方"という蛇足さえなければ最高の良問でした。
設問2(5)は専門知識がなくとも思考力さえあれば解けますので、"警視庁及び共管各官庁の考え方"という蛇足さえなければ最高の良問でした。
2025.04.03 21:08