HOME»情報処理安全確保支援士掲示板»H25年度 秋期 午後Ⅰ 問3 設問1、設問2
投稿する
»[0023] H22年度 秋期 午前Ⅱ 問8 投稿数:2
»[0022] H24年春 午後Ⅰ 問19 投稿数:2
H25年度 秋期 午後Ⅰ 問3 設問1、設問2 [0025]
べんきょうさん(No.1)
下記■の2点が悟れないです。教えて頂きたいです。
■H25年度 秋期 午後Ⅰ 問3 設問1
仮パスワードの入手方法について、「社外でリモートPCが不正利用される」
もポイントの1つと思います。
標準解答の「申請メールに第三者の携帯メールアドレスを指定」の前に、
まず申請メールを送れるPCを不正利用しないといけないと思います。
よって、解答には下記2点が含まれるべきだと思いますが、いかがでしょうか?
・社外でリモートPCが不正利用される
・申請メールに第三者の携帯メールアドレスを指定
■H25年度 秋期 午後Ⅰ 問3 設問2
不正利用が長引く理由について、「ログイン状態が24時間保たれる」
もポイントの1つではないのでしょうか?
■H25年度 秋期 午後Ⅰ 問3 設問1
仮パスワードの入手方法について、「社外でリモートPCが不正利用される」
もポイントの1つと思います。
標準解答の「申請メールに第三者の携帯メールアドレスを指定」の前に、
まず申請メールを送れるPCを不正利用しないといけないと思います。
よって、解答には下記2点が含まれるべきだと思いますが、いかがでしょうか?
・社外でリモートPCが不正利用される
・申請メールに第三者の携帯メールアドレスを指定
■H25年度 秋期 午後Ⅰ 問3 設問2
不正利用が長引く理由について、「ログイン状態が24時間保たれる」
もポイントの1つではないのでしょうか?
2014.09.25 00:27
おやじチャレンジャーさん(No.2)
べんきょうさん
再び、僭越ですが。
■H25年度 秋期 午後Ⅰ 問3 設問1 について
「仮パスワードの入手方法について『社外でリモートPCが不正利用される』」という考え方は、問題文14ページの図1ネットワーク構成の概要、直前の問題文「客先や自宅で作業を行う従業員には、・・・」を基にされていると推察致します。
ところで、設問1の①アンダーライン部分の問題文(17ページ)「Qさんが手順案をX課長に提示したところ、"図2の手順では、①第三者が・・・」の①よりも前の文に注目して下さい。
この設問は、QさんがX課長に提示した「図2 Cサービスの利用者ID登録手順案(抜粋)」に即して(限定して)回答させることを題意としていると思われます。
従いまして、「・社外でリモートPCが不正利用される」というご見解は、題意から外れているので正解に含めてはいけないと思います。
(設問2については、改めて考察致します)
再び、僭越ですが。
■H25年度 秋期 午後Ⅰ 問3 設問1 について
「仮パスワードの入手方法について『社外でリモートPCが不正利用される』」という考え方は、問題文14ページの図1ネットワーク構成の概要、直前の問題文「客先や自宅で作業を行う従業員には、・・・」を基にされていると推察致します。
ところで、設問1の①アンダーライン部分の問題文(17ページ)「Qさんが手順案をX課長に提示したところ、"図2の手順では、①第三者が・・・」の①よりも前の文に注目して下さい。
この設問は、QさんがX課長に提示した「図2 Cサービスの利用者ID登録手順案(抜粋)」に即して(限定して)回答させることを題意としていると思われます。
従いまして、「・社外でリモートPCが不正利用される」というご見解は、題意から外れているので正解に含めてはいけないと思います。
(設問2については、改めて考察致します)
2014.09.25 07:47
おやじチャレンジャーさん(No.3)
べんきょうさん
■H25年度 秋期 午後Ⅰ 問3 設問2
「不正利用が長引く理由について、『ログイン状態が24時間保たれる』もポイントの1つではないのでしょうか?」につきまして
比較例として、ログイン状態が1時間しか保たれない場合を考えてみます。
問題文17ページ 図3 認証の手順案(抜粋)手順(1)~(8)を引用します。
17ページ本文3行目より、利用者IDとパスワードが推測されてしまっているので、
攻撃者による認証を時系列で書いてみると、
初回認証 (1)→(2)→(3)→(4)→(5)→(6)→(7)→(8)→ログイン状態継続
1時間後、図3の注記「~自動的にログアウトされ、再度(1)から認証を行う。」より
2回目の認証、利用者IDとパスワードでログインする。この時、クッキーは有効期間90日以内なので、(2)~(5)のワンタイムパスワードにより2要素目の認証手続きは不要となります。 (1)→(6)→(7)→(8)→ログイン状態継続
さらに1時間後、自動的にログアウトされ、再度(1)から認証を行う。
3回目の認証 (1)→(6)→(7)→(8)→ログイン状態継続
さらに1時間後・・・
すなわち、ログイン状態の継続時間が短縮されても、クッキーの有効期間90日以内ならば、攻撃者は1時間ごとに手順(1)に戻り、(推測した)利用者IDとパスワードでログインをすれば、何度でもCサービスを利用できることになります。
このように、クッキーの有効期間が長いと、本問では2要素認証「利用者IDとパスワード」かつ「ワンタイムパスワード」が無効化されて、長期間の不正使用が可能になることがわかります。
従いまして、不正利用が長引く理由について「ログイン状態が24時間保たれる」は、ポイントの1つにはならないと思います。
■H25年度 秋期 午後Ⅰ 問3 設問2
「不正利用が長引く理由について、『ログイン状態が24時間保たれる』もポイントの1つではないのでしょうか?」につきまして
比較例として、ログイン状態が1時間しか保たれない場合を考えてみます。
問題文17ページ 図3 認証の手順案(抜粋)手順(1)~(8)を引用します。
17ページ本文3行目より、利用者IDとパスワードが推測されてしまっているので、
攻撃者による認証を時系列で書いてみると、
初回認証 (1)→(2)→(3)→(4)→(5)→(6)→(7)→(8)→ログイン状態継続
1時間後、図3の注記「~自動的にログアウトされ、再度(1)から認証を行う。」より
2回目の認証、利用者IDとパスワードでログインする。この時、クッキーは有効期間90日以内なので、(2)~(5)のワンタイムパスワードにより2要素目の認証手続きは不要となります。 (1)→(6)→(7)→(8)→ログイン状態継続
さらに1時間後、自動的にログアウトされ、再度(1)から認証を行う。
3回目の認証 (1)→(6)→(7)→(8)→ログイン状態継続
さらに1時間後・・・
すなわち、ログイン状態の継続時間が短縮されても、クッキーの有効期間90日以内ならば、攻撃者は1時間ごとに手順(1)に戻り、(推測した)利用者IDとパスワードでログインをすれば、何度でもCサービスを利用できることになります。
このように、クッキーの有効期間が長いと、本問では2要素認証「利用者IDとパスワード」かつ「ワンタイムパスワード」が無効化されて、長期間の不正使用が可能になることがわかります。
従いまして、不正利用が長引く理由について「ログイン状態が24時間保たれる」は、ポイントの1つにはならないと思います。
2014.09.25 13:23
べんきょうさん(No.4)
おやじチャレンジャーさん
いつも回答いただき、本当にありがとうございます。
■H25年度 秋期 午後Ⅰ 問3 設問1 について
仮に申請メールを出すのは、社内でしかできないのであれば、
社内ではみんなが自分のIDを持っているため、余計な不正申請はしないのです。
社外でリモートPCが使えるから、メールソフトが部外者に悪用され、不正申請が発生。
※図2にもスタートからメールソフトが登場しています。
もし、「PCの社外利用で危険性をにおわせる」と、出題者がわざわざと設けた罠であれば、
私は見事に引っかかっております。
■H25年度 秋期 午後Ⅰ 問3 設問2 について、
分かりやすい説明、ありがとうございます。
セキュリティの試験なので、厳しめに考えてました。
「システムと言えば、10分に操作がなければタイムアウトだ!」
と勝手に思い込んていました。
確かに、24時間よりも長くログイン状態が維持するシステムがよくあります。
いつも回答いただき、本当にありがとうございます。
■H25年度 秋期 午後Ⅰ 問3 設問1 について
仮に申請メールを出すのは、社内でしかできないのであれば、
社内ではみんなが自分のIDを持っているため、余計な不正申請はしないのです。
社外でリモートPCが使えるから、メールソフトが部外者に悪用され、不正申請が発生。
※図2にもスタートからメールソフトが登場しています。
もし、「PCの社外利用で危険性をにおわせる」と、出題者がわざわざと設けた罠であれば、
私は見事に引っかかっております。
■H25年度 秋期 午後Ⅰ 問3 設問2 について、
分かりやすい説明、ありがとうございます。
セキュリティの試験なので、厳しめに考えてました。
「システムと言えば、10分に操作がなければタイムアウトだ!」
と勝手に思い込んていました。
確かに、24時間よりも長くログイン状態が維持するシステムがよくあります。
2014.09.25 23:05
その他のスレッド
»[0024] H25年度 秋期 午後Ⅱ 問1 設問2の(2) 投稿数:3»[0023] H22年度 秋期 午前Ⅱ 問8 投稿数:2
»[0022] H24年春 午後Ⅰ 問19 投稿数:2