【情報処理安全確保支援士試験 令和2年度 秋期 午後1 問1 No.3】
情報処理安全確保支援士試験 令和2年度 秋期 午後1 問1
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後1 問1(一部、加工あり)】
[項番5への対策]
攻撃者が、②事前にスクリーニングを実行したパスワードリストを用いて、パスワードリスト攻撃を行うと、WebサーバNのアラート通知機能では検知されないおそれがある。そこで、Xさんは、③表3の会員登録処理を修正することにし、さらに、パスワードリスト攻撃への追加対策として2段階認証を施し、アラート通知機能も見直すことにした。
N社は、Nシステムの試行を幾つかの店舗で実施し、問題がないことを確認した。その後、Nシステムを全店舗に展開した。
下線②について、Nシステムのどのような挙動を利用してスクリーニングを実行したと考えられるか。利用したと考えられる挙動を40字以内で具体的に述べよ。:メールアドレスが会員登録されているかどうかで表示が異なるという挙動
スクリーニングとは、表6(Yさんの指摘)の注記にあるように「攻撃者が、攻撃者の手元にあるパスワードリストから無効なものを取り除くこと」です。
「攻撃者が、事前にスクリーニングを実行した」ということは、現状のNシステムの会員登録処理を利用して何らかの挙動を利用したということが分かるので、表3(会員登録処理(抜粋))を確認します。
そうすると、決済アプリにメールアドレスを入力した際の応答画面が、メールアドレスが会員登録されているかどうかで異なることが分かります。
攻撃者にとっては、手元にあるパスワードリスト(この場合はメールアドレス)を用いて会員登録処理を行い、応答画面を見て、会員登録されていない場合にはスクリーニングを実行することが可能となります。
下線③について、表3中の修正すべき処理を記号で答えよ。また、どのように修正すべきか。修正後の処理を、25字以内で述べよ。:2-b/2-aと同じメッセージを表示する。
攻撃者が決済アプリにパスワードリストのメールアドレスを入力しても、それが会員登録されているかどうか判断できないように、応答画面での表示を同じにする必要があります。
したがって、2-aと2-bで異なるメッセージを、同じメッセージが表示されるように変更すればいいことになります。