HOME»情報処理安全確保支援士掲示板»令和4年春 午後1問3 設問2(1)
投稿する
»[1319] 午後問題の勉強方針について 投稿数:3
»[1318] R04秋SC 午後1問3設問2(2)について 投稿数:7
令和4年春 午後1問3 設問2(1) [1321]
fgrepさん(No.1)
練習で問題を解いており、解答例に疑問を持ちましたのでご質問いたします。
私はこの問題に対し、以下の回答を書きました。
・他人の氏名で登録し、他人の口座番号と暗証番を利用
「攻撃者はどのようにして他人の銀行口座とのひも付けを成功させるか」という問題でしたので、その方法として上の回答を考えました。(1つしか思いつきませんでした。)
しかし、IPAの解答例は以下でした。
1.漏えいしている口座と暗証番号を悪用する方法
2.口座番号と暗証番号をだまして聞き出し、悪用する方法
解答例1.2は、ひも付けの方法ではなく、「どうやって口座と暗証番号を入手するか」という問いに対する回答まで含めており、回答としては飛躍していると感じました。
納得できていないのですが、
公式の回答である以上仕方ないと思っています。
しかし、このままでは本番で同じような問題に対して点が取れません。
このような問題でも点を取るためには、どのような考え方や回答の方針を持って回答するとよいでしょうか。
私の考え方に対する指摘や、みなさまの経験、お知恵を拝借させてもらえると嬉しいです。
よろしくお願いいたします。
私はこの問題に対し、以下の回答を書きました。
・他人の氏名で登録し、他人の口座番号と暗証番を利用
「攻撃者はどのようにして他人の銀行口座とのひも付けを成功させるか」という問題でしたので、その方法として上の回答を考えました。(1つしか思いつきませんでした。)
しかし、IPAの解答例は以下でした。
1.漏えいしている口座と暗証番号を悪用する方法
2.口座番号と暗証番号をだまして聞き出し、悪用する方法
解答例1.2は、ひも付けの方法ではなく、「どうやって口座と暗証番号を入手するか」という問いに対する回答まで含めており、回答としては飛躍していると感じました。
納得できていないのですが、
公式の回答である以上仕方ないと思っています。
しかし、このままでは本番で同じような問題に対して点が取れません。
このような問題でも点を取るためには、どのような考え方や回答の方針を持って回答するとよいでしょうか。
私の考え方に対する指摘や、みなさまの経験、お知恵を拝借させてもらえると嬉しいです。
よろしくお願いいたします。
2024.01.25 00:36
pixさん(No.2)
★SC ダイヤモンドマイスター
過去同様の質問が以下のスレッドであり、回答しております。
よろしければ、参考にしてください。
[1199] かっぱー
https://www.sc-siken.com/bbs/1199.html
本設問は情報漏えいの基本的な手法の2つ
・窃取:盗み取る
・詐取:だまし取る
をイメージ・解答できるかというものです。
よろしければ、参考にしてください。
[1199] かっぱー
https://www.sc-siken.com/bbs/1199.html
本設問は情報漏えいの基本的な手法の2つ
・窃取:盗み取る
・詐取:だまし取る
をイメージ・解答できるかというものです。
2024.01.25 07:03
fgrepさん(No.3)
ご返信が遅くなり申し訳ありません。
ありがとうございます。
リンク先も参照いたしました。
pixさんは「情報漏洩」に注目して解説されていますが、
本文や質問文に情報漏洩というワードはありません。
情報漏洩というワードはどこから連想されたのでしょうか?
ありがとうございます。
リンク先も参照いたしました。
pixさんは「情報漏洩」に注目して解説されていますが、
本文や質問文に情報漏洩というワードはありません。
情報漏洩というワードはどこから連想されたのでしょうか?
2024.02.03 23:05
pixさん(No.4)
★SC ダイヤモンドマイスター
この問はある程度の攻撃に対する一般論と推論を基にしています。
解答に至るには、以下のような論法になります。
P15 下から2行目「銀行口座のひも付けは、キャッシュカードの所持が確認されず、
暗証番号で照合されるだけなので、」
↓
物理的なキャッシュカードという媒体は不要。暗証番号という情報が入手できればよい。
↓
攻撃者が暗証番号という情報を入手するためには
窃取:盗み取る
詐取:だまし取る
という被害者にとっての情報漏えいとなる行為を行う必要がある
以上のような流れを経ることによって「情報漏えい」というワードを連想することに
なります。
もし「情報漏えい」というワードが弱いと感じるのであれば、本問については
暗証番号の「窃盗」や「詐欺」といった、法律で規定されている「犯罪」行為が
行われたと捉えるのがよろしいかと思います。
SCの試験ですので、コンピュータ的な視点からだと「情報漏えい」という観点に
なります。
しかし、攻撃者が起こす被害という視点からだと、法律的な「犯罪」という観点に
なります。
解答に至るには、以下のような論法になります。
P15 下から2行目「銀行口座のひも付けは、キャッシュカードの所持が確認されず、
暗証番号で照合されるだけなので、」
↓
物理的なキャッシュカードという媒体は不要。暗証番号という情報が入手できればよい。
↓
攻撃者が暗証番号という情報を入手するためには
窃取:盗み取る
詐取:だまし取る
という被害者にとっての情報漏えいとなる行為を行う必要がある
以上のような流れを経ることによって「情報漏えい」というワードを連想することに
なります。
もし「情報漏えい」というワードが弱いと感じるのであれば、本問については
暗証番号の「窃盗」や「詐欺」といった、法律で規定されている「犯罪」行為が
行われたと捉えるのがよろしいかと思います。
SCの試験ですので、コンピュータ的な視点からだと「情報漏えい」という観点に
なります。
しかし、攻撃者が起こす被害という視点からだと、法律的な「犯罪」という観点に
なります。
2024.02.03 23:32
その他のスレッド
»[1320] 過去に受けた試験の受験番号を忘れた 投稿数:3»[1319] 午後問題の勉強方針について 投稿数:3
»[1318] R04秋SC 午後1問3設問2(2)について 投稿数:7