情報処理安全確保支援士2019年(平成31年春)午後1問2(1,847 文字)

問題冊子、解答例、採点講評はこれ
今回から時間短縮のために本文要約をすっ飛ばします。日に1問ペースじゃ遅すぎた

本文(設問1)

問題文(設問1)

解説(設問1)

(1)はSがアクセスした無線LANアクセスポイントには何が設定されていたかについて。Sは図1で本来のホテルWi-Fiにアクセスしたつもりで攻撃者の無線LANアクセスポイントにアクセスしています。ホテルのWi-FIのSSIDと事前共有鍵は張り出されていたということなので、攻撃者の無線LANポイントの設定も張り出されていたホテルのSSIDと事前共有鍵が設定されていたと思われます。
答え ホテルWi-Fiと同じSSIDと事前共有鍵
(2)は攻撃者が用意したDNSサーバに[a]のFQDNと[b]のIPアドレスとを関連付けるAレコードが設定されていたとの話。図1で、SがメールサービスPを利用するためにPのFQDNを入力したという話だったので、このメールサービスP(a)のFQDNから攻撃者の用意するWebサーバ(b)に飛ばされたことがわかります。
答え a : メールサービスP, b : 攻撃者が用意したWebサーバ
(3)はメールサービスPにHSTSが実施されていないことを踏まえつつ、Sが攻撃者のWebサーバに接続した際にサーバ証明書が信頼できないエラーが出なかった理由について。まず、午前でも出てくるのでご存じでしょうが、HSTSとはHTTPでの接続を禁じ、HTTPSでの接続を強制するものです。
そして、HTTPSの場合はサーバ証明書を確認しますが、HTTPだと確認をしません。
メールサービスPがHTTPでアクセスするとHTTPSにリダイレクトされる仕様であることを合わせると、SがHTTPでアクセス→HTTPSにリダイレクトという流れを取ったことになります。サーバ証明書を確認しないHTTPで通信が始まったので、エラーが出なかったというのが真相です。
ちなみにエラーとは「この接続ではプライバシーが保護されません」みたいなやつですよ
答え HTTPで接続が開始されたから

本文(設問2)

問題文(設問2)

解説(設問2)

(1)はOTP認証方式を使ってもフィッシングの手口によるメールサービスPに不正アクセスを防げない理由。OTPならログイン時にOTPが必要だからパスワードが剽窃されても大丈夫→OTPも剽窃されたらダメじゃんというところから、OTPを入手することを考えます。OTPを入手する方法はOTPそのものを生成するか、入力を見るかの2つで、前者はワンタイムパスワードを生成しようという話で困難です。入力を見るのはいわゆる中間者攻撃で中に割り込むのが簡単です。具体的にはOTPをどこかに入力させて、攻撃者が取得します。それを認証サーバXで使うようにすれば解決です。
答え OTPの入力を要求し、OTPを認証サーバXに中継する処理

(2)はオーセンティケータの登録と認証の処理について。
図5で最初にあるようにオーセンティケータの登録要求を行っていますが、ここでオーセンティケータが真正なものであることの証明をする必要があります。方法としてはそのままですがオーセンティケータが秘密鍵A(ウ)で署名を作成し、公開鍵A(ア)で検証する流れです。
図6はそもそも認証サーバXが秘密鍵を持っていないので公開鍵K(イ)を使いほかなく、オーセンティケータが秘密鍵K(エ)を用いることになります。
なお、オリジンとはURLのスキーム、ホスト、ポートの組合せのことです。
答え c : ウ, d : ア, e : エ, f : イ
(3)はパスワードレス認証方式ならなりすましでもメールサービスPにアクセスできない理由。オリジンb(Webブラウザのアクセス先)とオリジンs(認証サーバX)の一致を検証するのがこの仕組みなので、もし、中間者攻撃で他のサイトが挟まっていた場合はオリジンbがその他のサイトのものになるので一致しません。
答え 認証サーバXでオリジンbとオリジンsの一致を確認しているから

終わりに

全体的に難しいと思います
そして社員が公衆Wi-Fiに接続してはいけない規則は知らないのにサーバ証明書のエラーは見る技量があるという会社もすごいなと少し思います

主な参考サイト

Chromeで「この接続ではプライバシーが保護されません」と表示され、自社のWebサイトが見られなくなった際の対処方法
平成31年度 春期試験 午後Ⅰ問題対策② ―問2
重要！ まずは「オリジン」を理解しよう