不正ログイン状況の確認【平成29年度 春期 情報処理安全確保支援士試験 午後1 問2 設問1】
平成29年度 春期 情報処理安全確保支援士試験 午後1 問2 設問1
問2 Webサイトのセキュリティ対策に関する次の記述を読んで、設問1〜3に答えよ。
E社は、従業員数200名の情報サービス事業者である。E社は、3年前からWebサイトα(以下、サイトαという)を利用して、次のような機能をもつ会員制の飲食店情報提供サービスを行っている。
・飲食店情報の検索
・飲食店情報に関する掲示板での投稿
・新規登録情報の、会員への電子メール(以下、メールという)による通知
サイトαに対する脆弱性修正プログラムの適用や、コンテンツ作成などの日々の作業は、情報提供サービス担当チームが行っている。チームはリーダのQさんと5名のメンバで構成されている。サイトαで稼働しているWebアプリケーションソフトウェアは、情報提供サービス担当チームがベンダに開発と保守を委託している。サイトαの画面遷移図を図1に、画面遷移の仕様を表1に示す。
〔利用者からの問合せ〕
ある日、サイトαの利用者L氏から、”今朝9時にログインし、サイトαを利用していたら、10時に急にログアウトさせられ、その後ログインできなくなった。パスワードを再設定しようとしたが、エラーが表示され、再設定できない。”という内容のメールがE社宛てに届き、他にも同様の問合せが数件来た。
情報提供サービス担当チームのXさんがサイトαの会員情報データベースにアクセスし、L氏の情報を確認したところ、退会処理が完了していた。Xさんは、誰かが嫌がらせ目的でL氏のアカウントで不正ログインし、退会処理を行った可能性を疑った。①Xさんは、L氏に詳細な利用状況を確認し、その確認内容とログイン記録を照合した結果から、L氏のアカウントは少なくとも今日は不正ログインされていないとの結論に至った。
①について、L氏のアカウントが不正ログインされていないとの結論に至るには、L氏に確認した内容から分かる何の値と、ログイン記録から分かる何の値を抽出して、一致していることが確認できればよいか。
・L氏に確認した内容:L氏が今日ログインしたと言っている回数
・ログイン記録:L氏の利用者IDを用いた今日のログイン回数
まず、「ログイン記録から分かる値」は何かを確認しましょう。図1の画面遷移図のログインページとあり、マイページへの画面遷移の説明が表1(あ)にあります。
操作の結果欄に「ログイン記録(利用者IDと時刻)が取得される」とあり、「ログイン記録から分かる値」は「利用者ID」と「時刻」であることが分かります。
不正ログインはL氏のアカウント(利用者IDとパスワード)でログインされるので、ログイン記録にある「L氏の利用者ID」での「時刻」または「回数」が、実際にL氏に確認した利用状況と異なっているログイン記録については、不正ログインによるものと判断できます。
逆に、それらが一致していれば、不正ログインされていないと判断できます。
解答例としては、ログイン回数での一致で判断していますが、ログイン時刻の場合は、記憶の曖昧さの点でログイン回数よりも正確性に欠けるのかもしれません。
ちなみに、ログアウト時の画面遷移は省略されていますが、ログアウト時もログイン記録またはログアウト記録として残していると思われます。(ログアウトしないで時間切れで無効となった時点も含め)
また、余談ですが、不正ログインの状況を確認するのに、Xさんの行動は「L氏に詳細な利用状況を確認し、その確認内容とログイン記録を照合した結果から」とありますが、まずはログイン記録で取得した情報を基に、利用者にヒアリングするほうが効率的かと思いました。
Xさんが、ログインできなくなる前にどのような操作をしたかをL氏に聞いたところ、サイトα内の掲示板に投稿していた人のプロフィール画面を見て、そこに記載されていたリンクをクリックしたとのことであった。リンク先は、別サイトのURLであり、かつ、Xさんが確認した時点ではリンク先は既に削除されていた。
Xさんは、今回の事象が起きたのはサイトαに脆弱性があるかもしれないと考え、セキュリティ専門業者J社にWebアプリケーションソフトウェアの脆弱性検査(以下、WebAP検査という)を依頼することにした。WebAP検査の結果、脆弱性が二つ(以下、脆弱性1、脆弱性2という)検出された。
【出典:情報処理安全確保支援士試験 平成29年度春期午後1問2(一部、加工あり)】