猫でもわかるWebプログラミングと副業

本業エンジニアリングマネージャー。副業Webエンジニア。Web開発のヒントや、副業、日常生活のことを書きます。

セキュリティスペシャリスト(情報処理安全確保支援士)H26春午後Ⅰ問3

もくじ

問題(pdf)

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2014h26_1/2014h26h_sc_pm1_qs.pdf

設問1

マルウェアJは単純にパスワードを盗もうとするマルウェアである。

(1) フィッシングサイト

フィッシング(釣り)サイト

(2)

法人利用者の場合、クライアント証明書によりTLS接続を行っている。クライアント証明証、つまり、システム利用者のPCの証明書(秘密鍵)がないとログインできない。

設問2

マルウェアKはパスワードを盗むマルウェアではなく、送金時の送金先を不正に変更するようなマルウェアである。

(1)

最近のブラウザであれば、証明書が正しくないサイトを閲覧している場合は、警告画面が出てページが表示されない。

(2)

    1. 123456
    1. 10000

マルウェアによって、確認画面があたかも正しいように表示させるが、実際には別の講座に送金されているのである。

設問3

(1)

    1. 対策になる
    1. 対策になる

ワンタイムパスワード認証の例としては、PCからログインしようとするとスマホアプリやメールなどにパスコードが送信され、それを入力しないとログインが完了しない方式である。LINEなんかでよく見られる。パスワードが盗まれても、このパスコード(ワンタイムパスワード)が分からないとログインできないため、マルウェアJには有効である。

送金内容認証は、利用者毎に異なる鍵(共通鍵認証を利用)が登録されたデバイスを予め共有しておく方式で、そのデバイスがないと送金などは出来ない仕組みである。パスワードが盗まれてもデバイスが無い場合は講座が不正に利用されることはない。

(2)

2要素認証方式とは

japan.norton.com

  • 本人が知っていること
  • 本人だけが所有しているもの
  • 本人の特性(生体認証など)

などがログインに利用できますが、これらの2つを組み合わせるのが2要素認証です。

「ユーザーID&パスワード」「秘密の質問」の組み合わせなんかは、両方とも「本人が知っていること」なので2要素認証になりません。「パスワード」と「指紋」なんかだと2要素認証になります。「2段階認証」という言葉だと前者も含みます。

(3)

PCのプログラムとして配布した場合、PCがマルウェアに感染している以上、HMAC計算ツールの入力や出力が改善されたりするリスクがある。別デバイスにしておけばPCがマルウェアに感染したとしても、HMAC計算ツールがウィルスの影響を受けることはない。

参考

sc.seeeko.com