HOME»情報処理安全確保支援士掲示板»平成30年春午後Ⅰ問3
投稿する
»[1204] 午後で出題される分野の予想について 投稿数:4
»[1203] 初歩的な質問をお許しください(公開鍵と秘密鍵) 投稿数:14
平成30年春午後Ⅰ問3 [1206]
オプティカルカモフラさん(No.1)
高校生です。
質問なのですが
平成30年春午後Ⅰ問3の
設問2(2)の方法についてですが、
HTTPリクエストを監視するというような回答でしたが、私は
キーロギング機能を用い、打った文字を攻撃者に送信する方法
としました。これはだめなのですか?
設問2(3)研究開発PCからファイル転送サーバにアクセスして、ファイルをダウンロードする必要があるから
とある参考書では、自身がアップロードしてないファイルが存在してれば、不正なファイルの存在に気づくことが出来る
となってますが
事務員がアップロードしたやつを騙ってるマルウェアつきファイルをダウンロードしたらマルウェア感染しないのですか?
(事務員から研究員)
設問4 上長による承認
CAPCHAによる認証
ですが
はダメなのですか?
そもそもこんな風に色んな答えが考えられると思うのですが、公式解答じゃないとダメなのですか?
また、実務経験がないと合格は厳しいでしょうか
質問なのですが
平成30年春午後Ⅰ問3の
設問2(2)の方法についてですが、
HTTPリクエストを監視するというような回答でしたが、私は
キーロギング機能を用い、打った文字を攻撃者に送信する方法
としました。これはだめなのですか?
設問2(3)研究開発PCからファイル転送サーバにアクセスして、ファイルをダウンロードする必要があるから
とある参考書では、自身がアップロードしてないファイルが存在してれば、不正なファイルの存在に気づくことが出来る
となってますが
事務員がアップロードしたやつを騙ってるマルウェアつきファイルをダウンロードしたらマルウェア感染しないのですか?
(事務員から研究員)
設問4 上長による承認
CAPCHAによる認証
ですが
はダメなのですか?
そもそもこんな風に色んな答えが考えられると思うのですが、公式解答じゃないとダメなのですか?
また、実務経験がないと合格は厳しいでしょうか
2023.09.06 14:43
オプティカルカモフラさん(No.2)
訂正
参考書のくだりですが、
参考書の
自身がアップロードしてないファイルが存在してれば、不正なファイルの存在に気づくことが出来る
は答えではなく解説の1部です。すみません。
参考書のくだりですが、
参考書の
自身がアップロードしてないファイルが存在してれば、不正なファイルの存在に気づくことが出来る
は答えではなく解説の1部です。すみません。
2023.09.06 15:05
pixさん(No.3)
★SC ダイヤモンドマイスター
この問は比較的難易度が高く、過去何度も質問があがっています。
最近、以下のスレッドで類似の質問と回答がされています。
参考にしてみてください。
[1166] 平成30年午後Ⅰ問3 設問2 について
https://www.sc-siken.com/bbs/1166.html
ダメではないですが、物足りないです。
「キーロギング機能」での窃取には欠点もあります。
最近のWebブラウザにはパスワード管理機能があり、パスワードがWebブラウザ内部で
管理されている場合があります。
パスワード管理機能によってパスワードが入力された場合「キーロギング機能」
ではパスワードを窃取できません。
したがって、ネットワークレイヤで「HTTPリクエストを監視する」ほうがパスワードを
窃取するのに適しています。
すみませんが、この質問のイメージが具体的にわきませんでした。
マルウェアがファイル名を偽装するということでしょうか?
偽装するのであれば、どのようなファイル名に偽装するのでしょうか?
事務員がアップロードしたファイルの横に似た別の名前の偽装ファイルがあったと
したら、それはそれで怪しいと思うのではと考えます。
P21 1行目「製品Zには、【正当】なファイル転送であることを確認するために」と
あります。
これはファイルのアップロード手順が正当に行われていることを保証する意図が
あると読み取れます。
その際に「上長による承認」ならば、最終的に人間が介在し正規と認めたファイルが
アップロードされます。
しかし、「CAPCHAによる認証」はダウンロード時の対策です。
ダウンロードの保護としての役割は果たすかもしれませんが、【正当】なファイル転送
という意味合いからは外れているように考えられます。
また、この手順ではアップロード時にファイルが正規かマルウェアに感染しているか
区別ができていません。
結果としてファイル転送サーバ上にマルウェアに感染したファイルが存在してしまう
可能があることになります。
別のスレッドにも書きましたが、FE,APと違い、SCの技術知識は参考書などでは
すべて賄いきれません。
SCの技術知識の源泉は以下のような割合になると考えています。
・参考書 50%
・業務経験 30%
・プライベートやその他資格試験 20%
又、ここ数年のSCの合格者の平均年齢は約35歳です。
これは業務経験10年くらいに該当すると思われます。
また高校生の合格者ですが、開催毎の受験者・合格者の人数は
・受験者:約12500人
・合格者:約2500人(20%)
・合格者のうち高校生:2,3人
だったと記憶しています。
これら統計情報からSC合格は高校生にとってはハンディキャップしかないです。
高校生でのSC合格は実務経験以前に極端な話、東京大学へ合格するよりも
難しいとも言えます。
率直にいうは大変恐縮ですが、高校生でこのハンディキャップを克服するには
地頭の良さ、いわゆる秀才と呼ばれるレベルでないと難しいのではと思います。
最近、以下のスレッドで類似の質問と回答がされています。
参考にしてみてください。
[1166] 平成30年午後Ⅰ問3 設問2 について
https://www.sc-siken.com/bbs/1166.html
>キーロギング機能を用い、打った文字を攻撃者に送信する方法
>としました。これはだめなのですか?
ダメではないですが、物足りないです。
「キーロギング機能」での窃取には欠点もあります。
最近のWebブラウザにはパスワード管理機能があり、パスワードがWebブラウザ内部で
管理されている場合があります。
パスワード管理機能によってパスワードが入力された場合「キーロギング機能」
ではパスワードを窃取できません。
したがって、ネットワークレイヤで「HTTPリクエストを監視する」ほうがパスワードを
窃取するのに適しています。
>事務員がアップロードしたやつを騙ってるマルウェアつきファイルをダウンロード
>したらマルウェア感染しないのですか?
>(事務員から研究員)
すみませんが、この質問のイメージが具体的にわきませんでした。
マルウェアがファイル名を偽装するということでしょうか?
偽装するのであれば、どのようなファイル名に偽装するのでしょうか?
事務員がアップロードしたファイルの横に似た別の名前の偽装ファイルがあったと
したら、それはそれで怪しいと思うのではと考えます。
>CAPCHAによる認証
>ですが
>はダメなのですか?
P21 1行目「製品Zには、【正当】なファイル転送であることを確認するために」と
あります。
これはファイルのアップロード手順が正当に行われていることを保証する意図が
あると読み取れます。
その際に「上長による承認」ならば、最終的に人間が介在し正規と認めたファイルが
アップロードされます。
しかし、「CAPCHAによる認証」はダウンロード時の対策です。
ダウンロードの保護としての役割は果たすかもしれませんが、【正当】なファイル転送
という意味合いからは外れているように考えられます。
また、この手順ではアップロード時にファイルが正規かマルウェアに感染しているか
区別ができていません。
結果としてファイル転送サーバ上にマルウェアに感染したファイルが存在してしまう
可能があることになります。
>また、実務経験がないと合格は厳しいでしょうか
別のスレッドにも書きましたが、FE,APと違い、SCの技術知識は参考書などでは
すべて賄いきれません。
SCの技術知識の源泉は以下のような割合になると考えています。
・参考書 50%
・業務経験 30%
・プライベートやその他資格試験 20%
又、ここ数年のSCの合格者の平均年齢は約35歳です。
これは業務経験10年くらいに該当すると思われます。
また高校生の合格者ですが、開催毎の受験者・合格者の人数は
・受験者:約12500人
・合格者:約2500人(20%)
・合格者のうち高校生:2,3人
だったと記憶しています。
これら統計情報からSC合格は高校生にとってはハンディキャップしかないです。
高校生でのSC合格は実務経験以前に極端な話、東京大学へ合格するよりも
難しいとも言えます。
率直にいうは大変恐縮ですが、高校生でこのハンディキャップを克服するには
地頭の良さ、いわゆる秀才と呼ばれるレベルでないと難しいのではと思います。
2023.09.06 16:01
名無しくんさん(No.4)
令和5年春に合格した者です。
設問4ですが、ご質問者様の回答だと確かにマルウェアからの攻撃は防げると思います。
ただ、問題文のリスク表にもある通り、個人的な不正が故意で行われないように第三者の承認が必要ですね。第三者承認がないと、なんでもかんでも許可なくファイルをアップロードして、利用できてしまうので。
設問4ですが、ご質問者様の回答だと確かにマルウェアからの攻撃は防げると思います。
ただ、問題文のリスク表にもある通り、個人的な不正が故意で行われないように第三者の承認が必要ですね。第三者承認がないと、なんでもかんでも許可なくファイルをアップロードして、利用できてしまうので。
2023.09.06 16:06
GinSanaさん(No.5)
★SC ブロンズマイスター
令和5年春 在学中の学校等 一覧表より
高校(情報系)
応募者数:2
受験者数:2
合格者数:0
高校(商業系)
応募者数:4
受験者数:2
合格者数:2
高校(工業系)
応募者数:3
受験者数:3
合格者数:2
高校(普通系・その他)
応募者数:8
受験者数:8
合格者数:3
一応この前の4月は17人受けて7人は受かってますが、商業科とか工業科ですごいのが目立ちますねえ。
高校(情報系)
応募者数:2
受験者数:2
合格者数:0
高校(商業系)
応募者数:4
受験者数:2
合格者数:2
高校(工業系)
応募者数:3
受験者数:3
合格者数:2
高校(普通系・その他)
応募者数:8
受験者数:8
合格者数:3
一応この前の4月は17人受けて7人は受かってますが、商業科とか工業科ですごいのが目立ちますねえ。
2023.09.06 18:46
GinSanaさん(No.6)
★SC ブロンズマイスター
CAPTCHA自体、本来相手がbot(プログラム)か人間か?を判別するための関門でしかなくて、CAPTCHAが「正当なファイル転送」かを判別するものにはならんですね。
これは余談ですが、仮にCAPTCHAを採用したとして、いちいち一昔前の画像系ので(最近見かけなくなったけど)「スキマスイッチ」のタイルを選んでください。とかやってトータルテンボスのアフロとスキマスイッチのアフロが混じったのだらけを出されてまた失敗した!!とか業務中にやられたら間違いなく採用したやつは嫌われますね。業務的にそんなに苦痛でない(実現難易度がそんなに高くない)手順か?も気にしてこの手の問題は作られていると思っています
これは余談ですが、仮にCAPTCHAを採用したとして、いちいち一昔前の画像系ので(最近見かけなくなったけど)「スキマスイッチ」のタイルを選んでください。とかやってトータルテンボスのアフロとスキマスイッチのアフロが混じったのだらけを出されてまた失敗した!!とか業務中にやられたら間違いなく採用したやつは嫌われますね。業務的にそんなに苦痛でない(実現難易度がそんなに高くない)手順か?も気にしてこの手の問題は作られていると思っています
2023.09.06 19:05
オプティカルカモフラさん(No.7)
みなさん、回答ありがとうございます!
2023.09.06 22:44
その他のスレッド
»[1205] 支援士FAQ 試験制度変更に未対応 投稿数:2»[1204] 午後で出題される分野の予想について 投稿数:4
»[1203] 初歩的な質問をお許しください(公開鍵と秘密鍵) 投稿数:14