サイトアイコン やさしいネットワークとセキュリティ

【情報処理安全確保支援士試験 令和2年度 秋期 午後2 問1 No.4】

情報処理安全確保支援士試験 令和2年度 秋期 午後2 問1

【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後2 問1(一部、加工あり)】

[サイトRでのインシデント]
 リリースに向けて準備を進めていたところ、インシデント発生の報告があった。発端は、ある顧客からの指摘で、その内容は、”サイトRのキャンペーン応募履歴を見たら、3月のキャンペーンに応募したことになっているが、身に覚えがない。3月にはサイトRに一度もアクセスしていないはずだ。”というものであった。
 J主任が、サイトRのアクセスログを確認したところ、次のことが分かった。

 図5は、サイトRのパスワード失念時の操作画面である。

 J主任は、攻撃者がパスワード失念時の処理を悪用して、会員番号及び誕生日を総当たりで入力し、たまたま合致した当該顧客のアカウントを乗っ取ったものと判断した。J主任は、このインシデントについてWeb管理課のL課長に報告した。L課長は旧A社出身で、この報告でサイトRのパスワード失念時の操作を初めて知った。次は、その報告の時のL課長とJ主任の会話である。

L課長:サイトRのパスワード失念時の処理には、三つの問題があるね。一つ目は、本人であることを確認するための情報が少なすぎるという問題だ。そこは後で解決するとしよう。二つ目は、パスワードそのものをメールで送るという問題だ。三つ目は、(j)という問題だ。二つ目と三つ目の問題の解決には、(k)ように改修すべきだ。この方法では、一部の利用者はパスワード失念時にログインできなくなるが、その場合はコールセンタで対応することにしよう。
J主任:はい。分かりました。
L課長:サイトRでは、攻撃者がアカウントを乗っ取ったとしても、あまり経済的利益を得られないので、今回のような被害で済んだと考えられるが、直ちに改修を完了させてほしい。もしもこれらの問題に気付かすにアカウント共通利用を提供していたら、①利用者に更に大きな被害が発生するところだった。アカウントの共通利用の設計、及びリリースまでのスケジュールも見直してほしい。

jに入れる適切な内容を40字以内で述べよ。:パスワードを、本人以外のメールアドレスに送ることができる

 「三つ目は、(j)という問題だ。
 図5(サイトRのパスワード失念時の操作画面)に関する問題点を考える前に、まずは今回のインシデントについて確認していきます。
 問題文の「応募の直前にパスワード失念時の処理を実行し、パスワードを電子メール(以下、メールという)で未登録のメールアドレスに送信した記録がある」、「J主任は、攻撃者がパスワード失念時の処理を悪用して、会員番号及び誕生日を総当たりで入力し、たまたま合致した当該顧客のアカウントを乗っ取ったものと判断した」といった説明と、図5を照らし合わせます。
 操作画面で入力する項目は「会員番号」と「誕生日(月日)」のみで、これらは総当たりで入力すれば合致するものを簡単に導くことができ、この点はL課長が挙げた問題点の一つ目「本人であることを確認するための情報が少なすぎる」点に該当します。
 そして、それらの情報が合致した後、ボタン「登録済みのメールアドレスでメールが受信できない場合」から遷移する画面では、新たなメールアドレスを入力するだけでそのメールアドレスに現在のパスワードが送信されることになります。
 この処理については、問題点の二つ目「パスワードそのものをメールで送る」ということに加え、登録されていないメールアドレスとは関係ない、つまり本人以外のメールアドレスに送信することができてしまう点が問題点となると言えるでしょう。

kに入れる適切な内容を40字以内で述べよ。:パスワードリセットのURLを、登録済みメールアドレスのみに送る

 「二つ目と三つ目の問題の解決には、(k)ように改修すべきだ。この方法では、一部の利用者はパスワード失念時にログインできなくなるが、その場合はコールセンタで対応することにしよう。
 問題点の二つ目「パスワードそのものをメールで送る」と、三つ目「パスワードを、本人以外のメールアドレスに送ることができる」の解決に対する改修内容を考えます。
 パスワードを失念した際には、通常、正規のパスワードを教えるのではなく、利用者側でパスワードをリセットして新たに再登録する方法が取られます。
 それを実施するための画面のURLを登録済みのメールアドレスに送ることで、利用者本人でしか操作できないようにします。
 この方法では、登録済みのメールアドレスが使用できない場合など対応できない場合が発生しますが、その場合は、コールセンタで対応することになります。

①について、更に大きな被害とは何か。具体的な被害を二つ挙げ、それぞれ30字以内で述べよ。:サイトPでポイントが不正に利用される。/サイトQでA百貨店の商品が不正に購入される。

 「サイトRでは、攻撃者がアカウントを乗っ取ったとしても、あまり経済的利益を得られないので、今回のような被害で済んだと考えられるが、直ちに改修を完了させてほしい。もしもこれらの問題に気付かすにアカウント共通利用を提供していたら、①利用者に更に大きな被害が発生するところだった
 各サイトの機能を表1(各サイトの概要)で確認すると、サイトRではキャンペーンへの応募やアカウント管理以外は各種情報を表示する機能くらいで、確かに「あまり経済的利益を得られない」でしょう。
 サイトPでは、「クレジットカード利用ポイントの残高確認、商品又は他社のポイントとの交換申請」とあり、ポイントの不正利用による被害が想定できます。
 サイトQでは、「A百貨店の商品の購入」とあり、不正に商品購入ができてしまうことになります。

モバイルバージョンを終了