設問３（2）の修正後の処理について質問があります。


正解は「2-aと同じメッセージを表示する」となっていますが、
これはつまり「決済アプリは、“電子メールを送信しました。”と表示する。」
と言うことでしょうか？

またこの場合、正解の修正後の処理にメールの内容が書かれていないことから、
実際には電子メールを送らないのでしょうか？


ご回答よろしくお願いします。


問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_qs.pdf

解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_ans.pdf

>これはつまり「決済アプリは、“電子メールを送信しました。”と表示する。」
>と言うことでしょうか？
攻撃者の目的はスクリーニングです。
同じメッセージを表示することにより攻撃者は登録済か未登録かの判断が
できなくなります。

>またこの場合、正解の修正後の処理にメールの内容が書かれていないことから、
>実際には電子メールを送らないのでしょうか？
以降の処理はオプションになりますので、いろいろなケースが考えられます。
・メールを送信しない、運用者もなにもしない
無害と判断し、本当になにもしません

・メールを送信しない、運用者はスクリーニングを検知して対応する
運用者はスクリーニングされていることを検知して次のアクション（アクセス調査・
ログ解析など）を行います

・メールを送する、運用者はスクリーニングを検知して対応する
運用者の対応に加えて、メール受信者に「登録処理が再実行されているが
心当たりがあるか」や「攻撃の可能性があるのでパスワードの変更を推奨」を促す
メールを送信したりします

pixさん

詳しい解説をありがとうございます。おかげさまで状況がよく分かりました。


一つ腑に落ちないのですが
メールを実際に送らない場合
メールアドレスの持ち主が（一度登録したことを忘れていたりして）
同じメールアドレスで２回目の登録をしようとした場合、
送信されたといわれたメールが届かないので
混乱するのではないかと心配です。

これは仕方ないのでしょうか？

＞これは仕方ないのでしょうか？

仕方ないと思います。
逆に攻撃者によって短時間で同じメールアドレス登録が何回も実行される場合も
考えられます。
この場合はすべてメールを送信してしまうと、スパムメールになるという
望ましくない状況になります。

もし、運用側がこの問題に対処するのであれば、メール登録処理にリスクベース
認証機能を実装することが解決策として適切と思われます。

最後にログインした際の接続元IPアドレス、端末情報を記録しておきます。
再登録時に接続元IPアドレスから推測される地理的情報や、端末情報が
同じであれば、正規の登録とみなし「すでにメールアドレスが登録されて
いる」内容のメールを送信します。

それ以外の場合、特に地理的情報が海外の場合は高確率で不正アクセス、スク
リーニングである可能性が高いため、メールを送信しないというのが適切な
対処になると思われます。

pixさん

さらに詳しい解説をありがとうございます。
非常にスッキリしました。

スパムメールになってしまう可能性やリスクベース認証実装での対応など
今回の事例での利用について詳しく説明いただいたおかげで
今まで勉強してきた「点」や「線」の理解が、「面」にまで拡がった気がします。

ありがとうございました。