[平成２６年度春] 午後1 問3 解説

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後1 問題文]　　　[H26春 午後1 解答]

[問題概要]

題材は、ネットバンキングサービスを狙うマルウェア対策についてです。
ネットバンキングサービスを悪用するマルウェアが２つ続いて報告され、それぞれのマルウェアのサービスへの影響と新しいセキュリティ対策を検討する、という内容です。
専門知識が必要な問題はそう多くありませんが、記述問題は各設問とも解答が簡単ではなく、問題文の理解と想像力が必要とされます。難易度はやや高めです。

[設問1]

(1)

ネットユーザからパスワードやクレジットカード情報などを詐取するフィッシング(詐欺)で利用される偽サイト「フィッシングサイト」が当てはまります。
言葉としては、一般的なので解答は難しくないと思います。

[答] フィッシングサイト

(2)

図1の法人利用者の利用手順より、法人の場合はまずクライアント証明書による認証が行われます。攻撃者はクライアント証明書を持っていないため、そもそもログインが出来ません。
[答] 攻撃者はクライアント証明書がなく、ログインできないから

[設問2]

(1)

この問題は若干解答が難しいです。
最新のブラウザは、アクセスしようとしているサイトがフィッシングサイトの可能性がある警告を表示してくれます。
(参考)chrome help

また、2016年７月のニュースで警視庁が海外サーバに開設された偽サイトの情報をブラウザ開発企業に提供したことが報じられています。

[答] 利用者のブラウザに表示される警告画面を見て気付くことができる。

(2)

本来ならば送金内容確認画面では、マルウェアKが書き換えた内容つまり口座番号：999999、送金額：500000が表示されますが、利用者に気付かせないために元の入力内容を偽装して表示します。

[答] a) 123456　b) 10000
　  目的) マルウェアKが書き換えた口座番号と送金額を利用者に隠すこと

[設問3]

(1)

c) 表1よりワンタイムパスワードでは毎回要求するパスワードが変わり、入力すべきパスワード専用デバイスに表示されます。この場合、マルウェアJに入力したID・パスワードを送られても次回利用できるわけでは無いので問題ありません。よって、対策になります。

d) 利用者とWebサイト間で共通鍵を設定するため、ID・パスワードを知られても攻撃者は共通鍵を持っていないため、送金は出来ません。よって、対策になります。

[答] c) 対策になる　d) 対策になる

(2)

二要素認証

種類の異なる２つの情報を組み合わせて認証を行う方式。（パスワードと指紋など）

[答] 二要素

(3)

HMAC計算ツールの動作を解析し、対応するように進化したマルウェアが利用者のPCに感染した場合、HMAC計算ツールへの入力内容や計算結果をマルウェアが改ざんしてしまう恐れもあります。

[答] 利用者のPCがマルウェアに感染した場合、HMAC計算ツールの入力内容も改ざんされる可能性がある。

平成２６年度春のSC午後１試験の他の問題の解説は下記投稿で行っています。

[平成２６年度春]午後1 問1 解説
[平成２６年度春]午後1 問2 解説

また、オススメ問題について下記投稿に記載しています。
[平成２６年度春] 午後1はどの問題を選択すれば良いか？

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。