利用者認証・パスワード認証のリスク・パスワード管理策【応用情報技術者試験 平成31年度 春期 午後 問1】

応用情報技術者試験 平成31年度 春期 午後 問1

問1 ECサイトの利用者認証に関する次の記述を読んで、設問1〜4に答えよ。

 M社は、社員数が200名の輸入化粧品の販売会社である。このたび、M社では販路拡大の一環として、インターネット経由の通信販売(以下、インターネット通販という)を行うことを決めた。インターネット通販の開始に当たり、情報システム課のN課長を責任者として、インターネット通販用のWebサイト(以下、M社ECサイトという)を構築することになった。

 M社ECサイトへの外部からの不正アクセスが行われると、インターネット通販事業で甚大な被害を被るおそれがある。そこで、N課長は、部下のC主任に、不正アクセスを防止するための対策について検討を指示した。

【利用者認証の方式の調査】

 N課長の指示を受けたC主任は、最初に、利用者認証の方式について調査した。

 利用者認証の方式には、次の3種類がある。

(ⅰ)利用者の記憶、知識を基にしたもの

(ⅱ)利用者の所有物を基にしたもの

(ⅲ)利用者の生体の特徴を基にしたもの

 (ⅱ)には、(a:ディジタル証明書)による認証があり、(ⅲ)には、(b:虹彩)による認証がある。(ⅱ)、(ⅲ)の方式は、セキュリティ面の安全性が高いが、①多数の会員獲得を目指すM社ECサイトの利用者認証には適さないとC主任は考えた。他社のECサイトを調査したところ、ほとんど(ⅰ)の方式が採用されていることが分かった。そこで、M社ECサイトでは、(ⅰ)の方式の一つであるID、パスワードによる認証を行うことにし、ID、パスワード認証のリスクに関する調査結果を基に、対応策を検討することにした。

a、bに関する解答群

 ア 虹彩  イ 体温  ウ ディジタル証明書

 エ 動脈  オ パスフレーズ  カ パソコンの製造番号

a:ディジタル証明書

所有物による認証には、ICカードやPCにディジタル証明書を組み込み、PKI(Public Key Infrastructure:公開鍵基盤)により、実現する仕組みがあります。

b:虹彩

生体認証に用いる生体情報には、個人ごとに異なり、経年変化が少なく安定して読み取れる情報であることが要求されます。

これには、虹彩のほかに、指紋、声紋、顔、網膜、静脈などがあります。

下線①について、(ⅱ)又は(ⅲ)の方式の適用が難しいと考えられる適切な理由

解答群

  1. インターネット経由では、利用者認証が行えないから
  2. スマートデバイスを利用した利用者認証が行えないから
  3. 利用者に認証デバイス又は認証情報を配布する必要があるから
  4. 利用者のIPアドレスが変わると、利用者認証が行えなくなるから

利用者に認証デバイス又は認証情報を配布する必要があるから

所有物認証で用いるディジタル証明書などの認証情報、生体認証で用いる認証デバイスなどは、利用者側に配備する必要があります。

M社ECサイトで全ての利用者にこれらを配備するのは、費用対効果の面で、有効ではないと考えたと思われます。

実際、オンラインバンキングなど、セキュリティ面の安全が最重視される場合には、認証デバイスなどが配布される場合が多いですが、ECサイトなどではそこまで整備されることは少ないと思われます。

【ID、パスワード認証のリスクの調査】

 ID、パスワード認証のリスクについて調査したところ、幾つかの攻撃手法が報告されていた。パスワードに対する主な攻撃を表1に示す。

f:id:aolaniengineer:20200505095552p:plain

c:総当たり又はブルートフォースd:パスワードリスト

これは知識問題です。

なお、項番2はリバースブルートフォース攻撃という場合が多いです。

表1中の項番1の攻撃には有効であるが、項番2の攻撃には効果が期待できない対策を、”パスワード”という字句を用いて、20字以内で答えよ。:パスワード入力試行回数の上限値の設定

ブルートフォース攻撃は、一つのIDに対して多数のパスワードを試行するため、試行回数に上限を設けるアカウントロック対策が有効です。

一方、リバースブルートフォース攻撃は、一つのパスワードに対して多数のIDを試行していくため、アカウントロック対策が効きません。

 表1中の項番1〜4の攻撃に対しては、パスワードとして設定する文字列を工夫することが重要である。項番5の攻撃に対しては、M社ECサイトでの認証情報の管理方法の工夫が必要である。しかし、他組織のWebサイトやECサイト(以下、他サイトという)から流出した認証情報が悪用された場合は、M社ECサイトでは対処できない。そこで、C主任は、M社ECサイトでのパスワード設定規則、パスワード管理策及び会員に求めるパスワードの設定方法の3点について、検討を進めることにした。

【パスワード設定規則とパスワード管理策】

 最初に、C主任は、表1中の項番1、2の攻撃への対策について検討した。検討の結果、パスワードの安全性を高めるために、M社ECサイトに、次のパスワード設定規則を導入することにした。

・パスワード長の範囲を10〜20桁とする。

・パスワードについては、英大文字、英子文字、数字及び記号の70種類を使用可能とし、英大文字、英子文字、英字及び記号を必ず含める。

 次に、C主任は、M社ECサイトのID、パスワードが窃取・解析され、表1中の項番5の攻撃で他サイトが攻撃されるのを防ぐために、M社ECサイトで実施するパスワードの管理方法について検討した。

 一般に、Webサイトでは、②パスワードをハッシュ関数によってハッシュ値に変換(以下、ハッシュ化という)し、平文のパスワードの代わりにハッシュ値を秘密認証情報のデータベースに登録している。しかし、データベースに登録された認証情報が流出すると、レインボー攻撃と呼ばれる次の方法によって、ハッシュ値からパスワードが割り出されるおそれがある。

②について、ハッシュ化する理由を、ハッシュ化の特性を踏まえ25字以内で述べよ。:ハッシュ値からパスワードの割出しは難しいから

ハッシュ化の特性は以下のとおりです。

  1. 入力データが同じであれば、常に同じハッシュ値(メッセージダイジェスト)が生成される。
  2. 入力データが少しでも異なっていれば、生成されるハッシュ値は大きく異なる。(異なる入力データから、同じハッシュ値が生成される可能性は非常に低い)
  3. ハッシュ値から元の入力データを生成することは困難である。

上記の3項の特性から、データベースにハッシュ化したパスワードを登録しておけば、仮に情報流出しても、元のパスワードを生成することは困難になります。(使用したハッシュ関数が十分な強度をもつ必要があります)

Webサイトでの利用者認証は、入力されたパスワードをハッシュ化したものと、データベース内のハッシュ値を照合することで行われます。

・攻撃者が、膨大な数のパスワード候補とそのハッシュ値の対応テーブル(以下、Rテーブルという)をあらかじめ作成するか、又は作成されたRテーブルを入手する。

・窃取したアカウント情報中のパスワードのハッシュ値をキーとして、Rテーブルを検索する。一致したハッシュ値があればパスワードが割り出される。

 レインボー攻撃はオフラインで行われ、時間や検索回数の制約がないので、パスワードが割り出される可能性が高い。そこで、C主任は、レインボー攻撃によるパスワードの割出しをしにくくするために、③次の処理を実装することにした。

・会員が設定したパスワードのバイト列に、ソルトと呼ばれる、会員ごとに異なる十分な長さのバイト列を結合する。

・ソルトを結合した全体のバイト列をハッシュ化する。

・ID、ハッシュ値及びソルトを、秘密認証情報のデータベースに登録する。

③の処理によって、パスワードの割出しがしにくくなる最も適切な理由を解答群の中から選べ。

解答群

  1. Rテーブルの作成が難しくなるから
  2. アカウント情報が窃取されてもソルトの値が不明だから
  3. 高機能なハッシュ関数が利用できるようになるから
  4. ソルトの桁数に合わせてハッシュ値の桁数が大きくなるから

Rテーブルの作成が難しくなるから

パスワード長が10〜20桁で70種の組み合わせに加え、ソルトが十分な長さをもつとすると、Rテーブルの(パスワード候補+ソルト候補)とハッシュ値の組み合わせは膨大になり、現実的に作成が難しくなります。

【会員に求めるパスワードの設定方法】

 次に、C主任は、表1中の項番3、4及び5の攻撃への対策を検討し、次のルールに従うことをM社ECサイトの会員に求めることにした。

・会員自身の個人情報を基にしたパスワードを設定しないこと

・辞書や人名録に載っている単語を基にしたパスワードを設定しないこと

④会員が利用する他サイトとM社ECサイトでは、同一のパスワードを使い回さないこと

④について、パスワードの使い回しによってM社ECサイトで発生するリスクを、35字以内で述べよ。:他サイトから流出したパスワードによって、不正ログインされる。

表1の項番5のパスワードリスト攻撃では、セキュリティ強度の低いサイトから流出したパスワードによって、M社ECサイトに不正ログインされる可能性があります。

これを避けるために、パスワードの使い回しは行わないことが重要です。

 C主任は、これらの検討結果をN課長に報告した。報告内容と対策策はN課長に承認され、実施されることになった。

【出典:応用情報技術者試験 平成31年度 春期 午後 問1(一部、加工あり)】