この問題のみなさんの解答やTACなどの解答速報では、ドメイン部分のチェックだったりホワイトリスト化するなどの解答をしています。私の解答は｢F-URLの値を固定化し、攻撃者が細工したURLを指定できなくする。｣と書いたのですが、これでは何がダメなのか教えていただきたいです。

※ 正式の回答がまだ公表前なので個人の感想です。

ざっくり問題文を読んだ感じですが、アプリケーションの仕様でキャンペーンURLは□□□の部分があり、変動する可能性もありそうですが、１つに固定化されても困るような要件（複数のキャンペーンが同時に存在する等）は明確になさそうので、想定されている対策は特に問題ないように思います。

しかしながら、対策の表現方法には気になる点があります。

解答速報の「ドメイン部分のチェックだったりホワイトリスト化する」の部分はアプリにそのような機能を実装する話になり、対策の話になります。

それに対し、「F-URLの値を固定化し、攻撃者が細工したURLを指定できなくする。」ですが、F-URLの発行はアプリが行うわけではありません。
そのため、F-URLの値を固定化するのはメールを作成する際の話で運用の話であり、これを行っても攻撃者は運用ルールを無視してURLの作成が可能なため対策になりません。

「F-URLの値を固定化し、アプリで検証を行い、正常な値に対してのみアクセスを行う」のようにアプリにどのような処理を実装することで対策とするのかを具体的に記載する必要があると思います。

回答ありがとうございます！確かにそう説明されるとぐうの音も出ませんね。これは部分点も見込めなさそうだ…。次受ける時はもっと詳細に書くようにした方が良いというところも勉強になりました！ありがとうございました！