HOME»情報処理安全確保支援士掲示板»H31春 午後1問2 設問2(3)
投稿する
»[0543] いよいよ本試験、2週間前になりました。 投稿数:5
»[0542] 午後1と午後2の選択について 投稿数:5
H31春 午後1問2 設問2(3) [0545]
ヤンさん(No.1)
始めまして
H31春 午後1問2 設問2(3)のIPAの回答が、よくわかりません。
同じスレッドを見つけましたが、そちらは期限切れなので、
別スレッドにて投稿させていただきます。
回答は、
「認証サーバXでオリジンbとオリジンsの一致を確認しているから」
ということですが、そもそも
1)攻撃者は秘密鍵Kを持っておらず、
2)ログインごとに乱数Cが変わるので、
正しい署名Mが生成できないのが回答になるのではないかと思います。
攻撃者が唯一取り得る攻撃方法としては、
前回盗聴した署名Mを使用するぐらいで、
この場合は、公開鍵Kで複合しても、
オリジンは一致しますが、乱数が一致しません。
秘密鍵を持たない攻撃者が自身で署名を作成するとは思えませんので、
オリジンを比較する以前の問題な気がします。
なにか勘違いしてますでしょうか?
よろしくお願いします。
H31春 午後1問2 設問2(3)のIPAの回答が、よくわかりません。
同じスレッドを見つけましたが、そちらは期限切れなので、
別スレッドにて投稿させていただきます。
回答は、
「認証サーバXでオリジンbとオリジンsの一致を確認しているから」
ということですが、そもそも
1)攻撃者は秘密鍵Kを持っておらず、
2)ログインごとに乱数Cが変わるので、
正しい署名Mが生成できないのが回答になるのではないかと思います。
攻撃者が唯一取り得る攻撃方法としては、
前回盗聴した署名Mを使用するぐらいで、
この場合は、公開鍵Kで複合しても、
オリジンは一致しますが、乱数が一致しません。
秘密鍵を持たない攻撃者が自身で署名を作成するとは思えませんので、
オリジンを比較する以前の問題な気がします。
なにか勘違いしてますでしょうか?
よろしくお願いします。
2020.10.04 13:12
ヤンさん(No.2)
すいません。
少し頭を冷やしたら納得できました。
この問題の問いかけは、分かりにくいのですが、
攻撃者が利用者の名前を騙ってメールサーバにアクセスするのを防ぐ、
のではなく、
利用者が偽サイトにアクセスするのを防ぐ、
ということですね。
問題文では、メールサーバへの不正アクセスを防ぐこと、
となっていましたが、、、
まあ、偽サイトへのアクセスが前提なので、
まずは、そちらが先に起こる事象なのですが、、、
今回の例では、
偽サイトは、サーバ認証を回避するためにHTTPで通信し、
正当なサーバでは、HTTPSで通信をするので、
認証時にオリジンを比較すると、HTTPとHTTPSで違いが生じるということで、
攻撃者は、それを回避する術を持たない、
ということなのですね。
秘密鍵や公開鍵の考え方に捕らわれて失敗しました。
本番でも思いつきそうにはありません。
お騒がせしてすいませんでした。
少し頭を冷やしたら納得できました。
この問題の問いかけは、分かりにくいのですが、
攻撃者が利用者の名前を騙ってメールサーバにアクセスするのを防ぐ、
のではなく、
利用者が偽サイトにアクセスするのを防ぐ、
ということですね。
問題文では、メールサーバへの不正アクセスを防ぐこと、
となっていましたが、、、
まあ、偽サイトへのアクセスが前提なので、
まずは、そちらが先に起こる事象なのですが、、、
今回の例では、
偽サイトは、サーバ認証を回避するためにHTTPで通信し、
正当なサーバでは、HTTPSで通信をするので、
認証時にオリジンを比較すると、HTTPとHTTPSで違いが生じるということで、
攻撃者は、それを回避する術を持たない、
ということなのですね。
秘密鍵や公開鍵の考え方に捕らわれて失敗しました。
本番でも思いつきそうにはありません。
お騒がせしてすいませんでした。
2020.10.04 13:36
グルタミンさん(No.3)
この投稿は投稿者により削除されました。(2020.10.04 14:39)
2020.10.04 14:39
グルタミンさん(No.4)
ほぼご理解の通りかと思いますが、HTTPとHTTPSの違いが生じるというよりは、そもそも偽サイトはホスト名が違いますので、オリジンの比較はそちらの意味合いの方が強いかと思います
要求2には"手口Gの手法に限らず"、偽サイトへアクセスしてしまったときのフィッシングの手口によるメールサービスPへの不正アクセスを防ぐ事とありますし、フィッシングサイトの手法では、今回のように込み入った手法を使わずとも、あの手この手で似たようなドメイン名の偽サイトに飛ばして、利用者を騙すという手法も一般的です。
要求2には"手口Gの手法に限らず"、偽サイトへアクセスしてしまったときのフィッシングの手口によるメールサービスPへの不正アクセスを防ぐ事とありますし、フィッシングサイトの手法では、今回のように込み入った手法を使わずとも、あの手この手で似たようなドメイン名の偽サイトに飛ばして、利用者を騙すという手法も一般的です。
2020.10.04 14:40
ヤンさん(No.5)
グルタミンさんへ
ご解説ありがとうございました。
誰かに自分の理解を確認していただけるのは心強いです。
なるほどです。
確かに、実際の現場では、
HTTPとHTTPSの違いよりも、ホスト名の違いが起こることの方が、
多そうですね。
ご解説というよりも適切なご指導、ありがとうございました。
ご解説ありがとうございました。
誰かに自分の理解を確認していただけるのは心強いです。
なるほどです。
確かに、実際の現場では、
HTTPとHTTPSの違いよりも、ホスト名の違いが起こることの方が、
多そうですね。
ご解説というよりも適切なご指導、ありがとうございました。
2020.10.04 21:37
その他のスレッド
»[0544] 平成30年度秋 午後2問1 設問5(1) 投稿数:2»[0543] いよいよ本試験、2週間前になりました。 投稿数:5
»[0542] 午後1と午後2の選択について 投稿数:5