【情報処理安全確保支援士試験 令和5年度 春期 午後2 問1 No.3】

情報処理安全確保支援士試験 令和5年度 春期 午後2 問1

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後2 問1(一部、加工あり)】

[フェーズ5:診断手順案に従った診断の実施]
 Y氏の協力の下、Zさんは、診断手順案に従ってサイトNの診断を実施することにした。サイトNは既にリリースされている。サイトNの会員(以下、会員Nという)は、幾つかのグループに分けられており、申し込むことができるキャンペーンが会員の所属しているグループによって異なる。サイトNの画面遷移を図4に示す。

 まず、Zさんは、診断対象URL、アカウントなど、診断に必要な情報をK社に確認した。しかし、サイトNについては診断に必要な情報が一元管理されていなかったので、確認の回答までに1週間掛かった。診断開始までに要する時間が課題として残った。
 次に、Zさんは、アカウントの設定を行った後、④探査を開始するURLに図4のトップページを指定してツールVの診断対象URLの自動登録機能を使用したが、一部のURLは登録されなかった。その後、登録されなかったURLを手動で登録した。診断を実施してもよいか、Y氏に確認したところ、注意点の指摘を受けた。具体的には、⑤特定のパラメータが同じ値であるリクエストを複数回送信するとエラーとなり、遷移できない箇所があることに注意せよとのことであった。適切な診断を行うために、ツールVの拒否回避機能を設定して診断を実施した。診断では、次に示す脆弱性が検出された。

  • XSS
  • アクセス制御の回避

 Zさんは、これらの脆弱性について、サイトNの開発部門(以下、開発部Nという)に通知し、偽陽性かどうかの判断、リスクの評価及び対策の立案を依頼した。

下線④について、URLが登録されなかった画面名を答えよ。:検索結果、新規会員情報入力

次に、Zさんは、アカウントの設定を行った後、④探査を開始するURLに図4のトップページを指定してツールVの診断対象URLの自動登録機能を使用したが、一部のURLは登録されなかった
 ツールVの診断対象URLの自動登録機能について、問題文を確認します。

  1. 探査を開始するURLを指定すると、自動探査によって、指定されたURLの画面に含まれるリンク、フォームの送信先などをたどり、診断対象URLを自動的に登録していく。診断対象URLにひも付くパラメータとその初期値も自動的に登録される。」(図1)
  2. 例えば、検索画面から診断結果が表示される画面に遷移するURLが診断対象URLの場合、診断時に送信される検索ワードを含むパラメータを指す。(図1 注)
  3. 登録時に作業者の工数がほぼ不要である。(表2)
  4. 常に一定の品質で登録できる。(表2)
  5. Webサイトによっては、登録が漏れる場合がある。例えば、遷移先のURLがJavaScriptなどで動的に生成されるような場合である。(表2)
  6. 必須入力項目に適切な値を入力できず、正常に遷移できないことがある。(表2)

 一部のURLが登録されないことについては、5項にあるように動的に生成されるような場合とあります。
 図4の画面遷移から動的に生成される画面を確認すると、注記4に「よくある質問検索の画面で検索する際に、次の画面に遷移するURLがJavaScriptで動的に生成される。」とあり、検索結果の画面が登録から漏れる可能性があります。
 また、トップページからの画面遷移ではない新規会員情報入力の画面については、注2に「新規会員登録の申込み時に電子メールで送付された登録URLにアクセスすると表示される。」とあり、トップページからの画面遷移上のリンク、パラメータとは無関係であるため、登録から漏れる可能性があります。

下線⑤について、該当する画面遷移とエラーになってしまう理由を2組み挙げ、画面遷移は図4中の(A)〜(E)から選び、理由は40字以内で答えよ。:(A)同じアカウントで連続5回パスワードを間違えるとアカウントがロックされるから/(C)キャンペーンは1会員に付き1回しか申込みできないから

具体的には、⑤特定のパラメータが同じ値であるリクエストを複数回送信するとエラーとなり、遷移できない箇所があることに注意せよとのことであった。
 画面遷移でエラーとなるケースについては、図4に以下の記述があります。

  1. 注記1:一つのキャンペーンに対して、会員Nは1回だけ申込みできる。
  2. 1):パスワードを連続5回間違えるとアカウントがロックされる。

 1項は画面遷移がキャンペーン申込み(C)、2項はログイン(A)であり、理由は上記記述を流用すればいいでしょう。