https://www.sc-siken.com/bbs/0386.html

こちらですでにやり取りがされているものですが、内容だけでは理解できずこちらに投稿しました。
私もこちらの質問者さまと同じ疑問を持っており、いかに事前に鍵の交換を行おうと、中間者攻撃を考えるといかようにもできてしまう内容なのではないかと思ってしまいます。

こちらは、認証サーバX側で許容するオリジンのスキームがHTTPSに限定されている前提があるため、中間者攻撃は考慮から外すべきという不文律的な前提があるため、オリジンの検証には信頼性がある、という理解をすれば良いのでしょうか。
（それにしても、攻撃サーバに全ての通信が見られてしまっている以上、攻撃サーバ側でオリジンbのスキームを改ざんすることは理論上否定し切れるものではないと思ってしまいますが）

>認証サーバX側で許容するオリジンのスキームがHTTPSに限定されている前提がある

おっしゃるとおりで 下線③において と条件が限定されております。
なぜその解答例に行き着くのか、理解することが最優先と考えます。

>それにしても、
合格を最優先するためにもまずは解答例への道筋を理解した上で別解を考えられることをお勧めいたします。

設問２（３）のことでよろしいでしょうか。

結論から言うと、改ざんをすることは可能かもしれませんが認証サーバでそれを検知できます。

仮に、偽サイトにアクセスさせて攻撃者が中間に入る方法が
１．攻撃者のDNSサーバで不正な名前解決をして正規のサイトになりすます（本問のパターン）
２．ドッペルゲンガードメインで正規のサイトだとユーザに誤認させる
の２パターンだとして、

１はHTTPS通信ならサーバ証明書の検証に失敗するのでなりすましを検知可能です。

２ですが、tonuma様が考えていらっしゃるのはこちらのパターンでよろしいでしょうか。
オーセンティケータが作成する署名Lにはオリジンbが含まれています。
このオリジンbは「WebブラウザがアクセスしたWebサイトのオリジン」であり、ドッペルゲンガードメインだった場合オリジンbは偽サイトです。
すると認証サーバでの署名L検証に失敗するので、こちらもなりすましを検知可能です。


よって、模範解答は「認証サーバXでオリジンbとオリジンsの一致を確認しているから。」となります。

>今春再合格ならず さま
ありがとうございます。
確かにおっしゃる通り、問題に必要以上の疑義を唱えても生産的じゃないですよね。
IPAの意図を汲み取ることを最優先に考えようと思います。


>basyou さま
問題の趣旨を自分なりに読んだところ、ドッペルゲンガードメインは基本的に考慮していません。
よって、1.のケースについて考えておりました。

結論として、やはり認証サーバはHTTPS通信を行うため、中間者攻撃はあり得ないものとしてとりあえず飲み込むこととしました（偽のDNSレコードまで用意して狙い撃ちしようとしているのだから、当然そこまで考慮して攻撃に及んでいるのではないかと感じますが、問題に弓引いてもなんの得もないので、飲み込むことにしました）。

あまり気にしすぎず、淡々と次の問題に行きたいと思います。ありがとうございました。