HOME»情報処理安全確保支援士掲示板»H25年度 秋期 午後Ⅰ 問3 設問1、設問2
投稿する

H25年度 秋期 午後Ⅰ 問3 設問1、設問2 [0025]

 べんきょうさん(No.1) 
下記■の2点が悟れないです。教えて頂きたいです。

■H25年度  秋期  午後Ⅰ  問3  設問1
仮パスワードの入手方法について、「社外でリモートPCが不正利用される」
もポイントの1つと思います。
標準解答の「申請メールに第三者の携帯メールアドレスを指定」の前に、
まず申請メールを送れるPCを不正利用しないといけないと思います。

よって、解答には下記2点が含まれるべきだと思いますが、いかがでしょうか?
・社外でリモートPCが不正利用される
・申請メールに第三者の携帯メールアドレスを指定

■H25年度  秋期  午後Ⅰ  問3  設問2
不正利用が長引く理由について、「ログイン状態が24時間保たれる」
もポイントの1つではないのでしょうか?
2014.09.25 00:27
おやじチャレンジャーさん(No.2) 
べんきょうさん

再び、僭越ですが。
■H25年度  秋期  午後Ⅰ  問3  設問1  について
「仮パスワードの入手方法について『社外でリモートPCが不正利用される』」という考え方は、問題文14ページの図1ネットワーク構成の概要、直前の問題文「客先や自宅で作業を行う従業員には、・・・」を基にされていると推察致します。

ところで、設問1の①アンダーライン部分の問題文(17ページ)「Qさんが手順案をX課長に提示したところ、"図2の手順では、①第三者が・・・」の①よりも前の文に注目して下さい。
この設問は、QさんがX課長に提示した「図2  Cサービスの利用者ID登録手順案(抜粋)」に即して(限定して)回答させることを題意としていると思われます。

従いまして、「・社外でリモートPCが不正利用される」というご見解は、題意から外れているので正解に含めてはいけないと思います。

(設問2については、改めて考察致します)
2014.09.25 07:47
おやじチャレンジャーさん(No.3) 
べんきょうさん
■H25年度  秋期  午後Ⅰ  問3  設問2  
「不正利用が長引く理由について、『ログイン状態が24時間保たれる』もポイントの1つではないのでしょうか?」につきまして

比較例として、ログイン状態が1時間しか保たれない場合を考えてみます。
問題文17ページ  図3  認証の手順案(抜粋)手順(1)~(8)を引用します。
17ページ本文3行目より、利用者IDとパスワードが推測されてしまっているので、
攻撃者による認証を時系列で書いてみると、
初回認証 (1)→(2)→(3)→(4)→(5)→(6)→(7)→(8)→ログイン状態継続

1時間後、図3の注記「~自動的にログアウトされ、再度(1)から認証を行う。」より
2回目の認証、利用者IDとパスワードでログインする。この時、クッキーは有効期間90日以内なので、(2)~(5)のワンタイムパスワードにより2要素目の認証手続きは不要となります。 (1)→(6)→(7)→(8)→ログイン状態継続

さらに1時間後、自動的にログアウトされ、再度(1)から認証を行う。
 3回目の認証   (1)→(6)→(7)→(8)→ログイン状態継続

さらに1時間後・・・

すなわち、ログイン状態の継続時間が短縮されても、クッキーの有効期間90日以内ならば、攻撃者は1時間ごとに手順(1)に戻り、(推測した)利用者IDとパスワードでログインをすれば、何度でもCサービスを利用できることになります。

このように、クッキーの有効期間が長いと、本問では2要素認証「利用者IDとパスワード」かつ「ワンタイムパスワード」が無効化されて、長期間の不正使用が可能になることがわかります。

従いまして、不正利用が長引く理由について「ログイン状態が24時間保たれる」は、ポイントの1つにはならないと思います。


2014.09.25 13:23
べんきょうさん(No.4) 
おやじチャレンジャーさん

いつも回答いただき、本当にありがとうございます。

■H25年度  秋期  午後Ⅰ  問3  設問1  について

仮に申請メールを出すのは、社内でしかできないのであれば、
社内ではみんなが自分のIDを持っているため、余計な不正申請はしないのです。
社外でリモートPCが使えるから、メールソフトが部外者に悪用され、不正申請が発生。
※図2にもスタートからメールソフトが登場しています。

もし、「PCの社外利用で危険性をにおわせる」と、出題者がわざわざと設けた罠であれば、
私は見事に引っかかっております。


■H25年度  秋期  午後Ⅰ  問3  設問2  について、

分かりやすい説明、ありがとうございます。

セキュリティの試験なので、厳しめに考えてました。
「システムと言えば、10分に操作がなければタイムアウトだ!」
と勝手に思い込んていました。
確かに、24時間よりも長くログイン状態が維持するシステムがよくあります。
2014.09.25 23:05
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop