情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

令和6年春期試験 午後試験【問2】についての投稿を受け付けるスレッドです。

だいぶ作文でしたけど書きやすかったですね

大問2は行けた気がする

解答に時間はかかったけど、内容は優しいかな

今回の問2を二つ選択させて欲しい。。

選んだけど問一より手応え感じなかった
どのレベルまで回答を求められてるのかわからなくて全部ふんわりした回答になった気がする

「従業員全員がわかるように注意喚起しろ」とかいう無茶ぶり

>「従業員全員がわかるように注意喚起しろ」
全員ブックマークしてそこ以外からアクセスすんなって書きました

開いたとしても〜がわからんかったすね、、。

アクセス後だからブックマークは的外れな気がする

会社からVPNへアクセスを誘導するメールは送信しません。

的なことを書いた気が

この投稿は投稿者により削除されました。(2024.04.21 15:40)

だから開いたあとでも、そんなメールあったなって気づける

「VPN接続はVPNクライアントソフトウェアを用いてのみ利用するため、WEBサイトにてVPNの利用者認証をすることはない旨の注意喚起をする」みたいに書きました…

>「従業員全員がわかるように注意喚起しろ」
VPNクライアントソフトウェア起動時に表示されるが正規なので、メールのURLリンクをクリックして表示されたのは罠だと思え。と書きました。

> 全員ブックマークしてそこ以外からアクセスすんなって書きました
たしか過去問に似たような問題があって自分もそう書こうとしたんですけど、注意喚起ということから利用規則とは違うかなと思い、最終的に
「当社から従業員へのメールにVPNダイアログへのURLを含むメールを送る事はない」って書きました。

注意喚起は、認証はURLでは通知しないルールの周知と訓練を定期的に行うといあ2本たてに、してみたが、蛇足だったのかな。。おそらく運用でカバーしろと言う話なはず。

>「従業員全員がわかるように注意喚起しろ」
いつもと違うダイアログとか証明書エラー出たら操作中断して情シスに連絡しろって書いた

クライアントソフトウェア起動時以外で開くログイン画面は全部偽物と思えって極端なこと書いちゃいましたけども
自由記述はどこまで書いたらいいかの判断難しいっすねぇ

「正規のURLを社員全員に周知し、クリック後に誘導されたURLが正規のものであるか確認する」みたいな感じで書きました…

>全員ブックマークしてそこ以外からアクセスすんなって書きました
同じく！

注意喚起は、ブラウザのURLが正規のものかどうかを確かめる、と書きました。
メールだとHTML形式で、リンク名と実際のアクセス先が違うので、アクセスした後で一番信じられるのはブラウザのURLかなぁ、と、、、

サーバ証明書の検証に失敗したら、アクセスをやめると書いたんですが､､､的外れですかね

ブルートフォースの平均秒数を書く問題、皆さんはどうされましたか？
平均というから、500かなと解答したけど。。四捨五入しろと書いてあり、どこでやるのかトラップなのか分からなかったです😭

「VPNクライアントを導入したPC」ってことはクライアントインストール型のソフトでしょ？普段の認証はURLからじゃなくて実行ファイルからとかじゃなくて？だとしたらブックマークは違うような気がするんだけれども

開いた後も〜みたいな記述あったんですか、完全に見逃してますわ

>注意喚起は、ブラウザのURLが正規のものかどうかを確かめる、と書きました。
私もこれ書いてたんですが、従業員が不審なURLと判断するのは難しいよーって書いてあって一般社員のリテラシーの低さに泣きながら書き直しました（自信はないので悪しからず）

>ブルートフォースの平均秒数を書く問題、皆さんはどうされましたか？
自分も500
注意はミスリードだと割り切った

不審なURLかどうかを見極めさせることは難しいって問題に書いてありますよー

ここで稼げてないと終わる、、。

とにかくネットから切り離せ！（換気）

>従業員が不審なURLと判断するのは難しいよーって書いてあって
見逃してました、、、でもリンクをクリックした後に何を信じればいいかわからないですね😂
攻撃者は正規のログインフォーム知ってるはずなので全く同じもの作れるはずですし、、

>ブルートフォースの平均秒数を書く問題、皆さんはどうされましたか？
一つ目で当たれば0.1秒、10000個目で1000秒だから、平均500.05秒で、四捨五入で500ですかね？

事象の共有と、不審なURL踏んだら社内NWから切り離して情シスに連絡しろみたいなこと書いたかな、、

待って今気づいた平均秒数は問一や

会社からメールでリンク送ることは無いから送られてきてもリンク先にパスワードとか入力すんな！って感じで書きました〜

最後の設問、
「インターネットから取引先向けWebサーバへのアクセスはUTMで拒否されるから」って書きました。直前の問題文に書いてることそのままやん！って思いながら…。

VPN接続はwebではなくクライアントソフトのダイアログからなので、そもそもブックマークでは到達できません。
今回はそのダイアログを模したwebページのリンクが攻撃者から送られてきているので、そもそもダイアログからのみでしか接続しないようにしましょう、が解答だと思いました。

リンク送ることないって注意喚起しても、これからはリンク送ることになったから〜って偽物に周知されたら不審URLに気付かへん社員たちは信じよるやん!って深読みしすぎました大反省

>「インターネットから取引先向けWebサーバへのアクセスはUTMで拒否されるから」
私はアクセス元をS社の何ちゃら（ZTNAみたいなやつ）に絞れるからって書いてほしいのかなと想像しましたね

この投稿は投稿者により削除されました。(2024.04.21 16:01)

>VPN接続はwebではなくクライアントソフトのダイアログからなので、そもそもブックマークでは到達できません。
推測だと多分そうなんだけど、認証ダイアログにはブラウザからアクセスしない、つていう明確な記述が無かったのよね
インストールタイプでも結局入口はブラウザから、みたいなのは可能性としては有り得るのかなあと

vpnのクライアントソフトウェアからしか起動しない、が正解そうですね、、

> リンク送ることないって注意喚起しても、これからはリンク送ることになったから〜って偽物に周知されたら不審URLに気付かへん社員たちは信じよるやん!って深読みしすぎました大反省

注意喚起は社内文書か口頭で行われるだろうからなりすましは怪盗キッドかルパンくらいしかできないんじゃないかな。

正解はIPA様のみぞ知る…

(ア)と組み合わせた攻撃例だったため、
「SMSの送信元は普段の送信元と同一か確認するように、というむねの内容」
と書きましたが、見当外れでしたかね。

人間が一番脆弱性多くて嫌でござんす、、
リテラシー低い社員1人いたら全部突破できてしまうでやんす、、

>「SMSの送信元は普段の送信元と同一か確認するように、というむねの内容」
これは攻撃者が盗んだIDとパスワードを正規のダイアログに入れた時に正規の送信元から飛ぶはずだからダメかもです、、

どう見てもエスパー問で解けた人少なそうだし捨てですよ捨て

> vpnのクライアントソフトウェアからしか起動しない、が正解そうですね、、

設問2(2)に対して仰っているのであれば違うと思いますよ。本設問では、不審なURLさえも気付けない従業員が、フィッシングされて罠サイトに誘導された後に「これは偽サイトだ！」と気付ける注意喚起が必要だと思います。

urlは督促などで使う、しかもurlは偽物と見分けられない＝フィッシングに引っかかる社員がいる前提の質問だと思い、多要素認証で身に覚えのないセキュアコードが自分のスマホに送られてきたら、パスワードを変更して情シスに報告させる、と書きました

>「SMSの送信元は普段の送信元と同一か確認するように、というむねの内容」
揚げ足取りで申し訳ないけど、そもそもSMSじゃなくてメールだと思う

名前の通りあかんです。
こいつで70点取ってないと

私は「VPNクライアント起動ではなく、URLクリック後にダイアログが表示された場合、IDとパスワードを入力せず、報告するようにする」と書きました

>多要素認証で身に覚えのないセキュアコードが自分のスマホに送られてきたら、パスワードを変更して情シスに報告させる
否定ニキになってて恐縮なんですが、IDとパスワード送ってすぐに横流しでなりすましのログインを試行されると、ワンタイムパスワードがすぐ送られてくるから身に覚えある感じになってしまいますね

私はクライアントソフトウェア起動した時以外にダイアログでても入力するなって書きました

社員に知らせる問題についてだが、本文中にVPNの話が明示されてるから「VPN接続では」ダイアログ以外からの接続はない旨を筋に書けば良いのかなと

よっしゃわかったー！！VPN廃止したからみんな社内リソースにアクセスするときは出社せえよ！社長命令や！が正解です

Forticlientみたいなの想像したから、
VPNダイアログに利用者IDとパスワードを入力する時はwebブラウザ終了させる。にしました。
そもそもダイアログはwebじゃないし

>「従業員全員がわかるように注意喚起しろ」
クライアント認証を有効にすると書いたがだめかしら？

みんなバツやで

>よっしゃわかったー！！VPN廃止したからみんな社内リソースにアクセスするときは出社せえよ！社長命令や！が正解です
営業「オォン！？💢】

考えてみたら、URLの区別すらつかない状態の社員にVPNで社外からの接続許可してる会社が恐ろしすぎですよねぇ
社員教育も諦めてるし

りんごニキ分散して笑う
なりすまし防止のためにDKIM認証してくれ

DKIMってこれ電子メールか

>考えてみたら、URLの区別すらつかない状態の社員にVPNで社外からの接続許可してる会社が恐ろしすぎですよねぇ
おっ弊社の話かあ？
ていうかこういうキャップ増えてる会社はほんと増えてると思う
ワンマンとか独裁色強いとこは特に

H社で使用しているVPN通信は、R-PCのVPNクライアント起動時に、VPNダイアログが表示されて認証開始となる仕組みだから、URLリンククリック時にVPNダイアログが表示された場合は信用しない事

と書いたけど長すぎか…

>VPNダイアログに利用者IDとパスワードを入力する時はwebブラウザ終了させる

注意喚起とは？

>外部サービスを利用する方法があることがわかった
こんな話題本文にありましたっけ？

>外部サービスを利用する方法があることがわかった

コンテンツデリバリーネットワークって書いた。自信なし。

>外部サービスを利用する方法があることがわかった
これ全然わからなかった。。webサーバとDNSサーバのSaaSって適当に書きました

自分
リバースプロキシとロードバランサ...





何言ってんだろ

>外部サービスを利用する方法があることがわかった
リスクベース認証って書きたかったけど思い出せなかったのでふるまい検知認証サービスって書いた

>外部サービスを利用する方法があることがわかった
わからん。
CDNサービスって書いた

注意喚起は以下のニュアンスで書いてみました。
開いたURLが正規のURLと比較したときに不自然なURLの場合ID情報とかいれないように。

※リンクをクリックしてしまっても・・という書き方だったのでリンククリックしてからできる注意対応にしてみました。

>リスクベース認証って書きたかったけど思い出せなかった
リスクベース認証ってDDosの対策になるの？詳しく

CDNって動画配信みたいなコンテンツ用だと思ってたけど、WEBサービスでも使えるの？

(クラウドフレアなどの)CDNサービスを使用するにしました
具体的に #とは

>外部サービスを利用する方法があることがわかった
クラウドのDNSサービスって書いたけど、そんなんあるんですかねぇ

外部サービスは帯域制御装置と書いたなぁ、

クラウド上のネットワークロードバランサーと書きました
通信帯域の観点とは別に通信の整理の観点から

>開いたURLが正規のURLと比較したときに不自然なURLの場合ID情報とかいれないように。

残念ながら、不審なURLかどうかを見極めさせることは難しいって問題文に書いてあるのでアウトでは…

>リスクベース認証ってDDosの対策になるの？詳しく
普段と違う環境検知してリスクベース認証サービス側で追加の認証してくれるならワンチャンあるのかなと思ったけど

>CDNって動画配信みたいなコンテンツ用だと思ってたけど、WEBサービスでも使えるの？

わからんって言ってんじゃん
リスクベース認証がDDos対策になるのか詳しく

わいの注意喚起は、当該事例をアニメ化して従業員にストーリーを体験させるって書いてしまったorz

外部サービスは、Cloudflareのことしか思い浮かばなかったので、DDoS対応のCDNサービスって書いた

同じく帯域制御でかきました。

>「従業員全員がわかるように注意喚起しろ」
URL経由でリモート接続認証が要求されたとしても、VPNクライアントソフトを起動して起動時のVPNダイヤログで認証しろ、と書きました

注意喚起の問題、webブラウザでのログイン禁止って書いた。VPNの接続方法がクライアントソフトウェアってわざわざ書いてあったから個人的には自信ありだけどどうじゃろ

令和4年春の午後2問1でCDNによるサーバの負荷軽減の記述あるから、CDNで正解じゃない？

普通にCDNだと思ってるけど違うの？
勝手に定石だと思ってた

↑令和4年春の午後2問2でした

>令和4年春の午後2問1でCDNによるサーバの負荷軽減の記述あるから、CDNで正解じゃない？

私も良く分かってないけど、そんな問題があったなっていう記憶を頼りにCDNにしました

普通にCDNで分散でしょ

なんでもCDNで解決すると思ってる説
過去問に書いてあったからって前提の問題文違うでしょ

ご査収ください

Q1-1
ａ  公開Webサーバ、DNSサーバを攻撃対象に、偽の送信元IPアドレスと宛先ポート443に設定した、HTTPリクエストのGETメソッドを大量に送りつける

Q1-2
IPS機能がDDoS攻撃だと判定しない

Q1-3
ｂ  DNS-K
ｃ  DNS-F

Q2-1
ｄ  ソーシャルエンジニアリングの攻撃手法で、利用者IDとパスワードを奪った正規利用者の運転免許証のコピーなどの個人情報を盗む。
ｅ  SIMスワッピングの攻撃手法で、スマートフォンを紛失したなどの理由でキャリア会社にSIMカードの再発行を依頼する。個人情報はｄで入手した情報を元に偽造する

Q2-2
webブラウザで「サーバ証明書の検証に失敗しました」や「このサイトにアクセスすると情報が盗まれる可能性があります」などの警告が出るサイトにはアクセスしないよう注意喚起する。
（これなんかちゃう気がする）

Q3-1
パケットで利用されているポート番号から推測し、接続試行を繰り返す。

Q3-2
HMACにワンタイムパスワードが含まれるため、繰り返し利用できないから

Q4-1
クラウドサービス型WAF

Q4-2
SPAパケットの検証に失敗した接続は、S-APPLですべて破棄されるから

Q2-1 e
個人情報はｄで入手した情報を元に偽造する ✕
本人確認はｄで入手した情報を元に偽造する ◯

CDN以外何回答あるの？
帯域制御とか単一ネットワークなんて根元が詰まってエンドでは？

この投稿は投稿者により削除されました。(2024.04.21 18:27)

設問１
(1)
a.公開WEBサーバーにボット等から多数のHTTPGETリクエストを送信し公開WEBサーバーのコネクション、リソースを枯渇させようとする
(2)攻撃ではない通信を誤検知で遮断してしまう
(3)
b.DNS-K
c.DNS-F

設問2
(1)
d.入力されたID・パスワードを攻撃者側でもVPNクライアントソフトウェアの入力する（VPNクライアントソフトウェアの接続先はVPN-Hを事前に設定しておく）
e.偽のセキュリティコード入力画面を表示し、正規利用者にSMSで送られるセキュリティコードを入力させ、攻撃者側でもVPNクライアントソフトウェアに入力し不正ログインする
(2)VPNの認証情報はVPNクライアント起動時のみ入力するものであり、メールのメッセージに含まれるリンクを開いて入力を求められても入力しないこと。

設問3
(1)一連のVPN接続パケットからポート番号を調べその順に接続する
(2)同じランダムデータを持つSPAパケットを受信した場合破棄されるから

設問4
(1)CDN事業者エッジサーバにコンテンツ配置
(2)デジタル証明書によるクライアント認証により取引専用PCのみに接続制限できるから


全く自信ありません・・・
設問3-(2)は「利用する外部サービスを20文字で具体的に答えよ」という問題文の中の「20文字」「具体的」という点に引っかかり「CDNってサービス名称だし、20文字に対し3文字だとまずいかな・・・」と思い無理やり詰め込みました・・・

Q1-1
公開Webサーバ、取引先向けWebサーバを攻撃対象に、HTTPのGETメソッドを大量に送り付ける

Q1-2
正常な通信時も異常と判断される

Q1-3
b DNS-F
c DNS-K
↑間違えました...

Q2-1
d 正規利用者のスマートフォンのSMSに送信されたセキュリティコードを入力させる。
e 攻撃者は正規のWebサイトに、収集した利用者ID、パスワード、セキュリティコードを用いて認証を試みる。

Q2-2
最初に誤った認証情報を入力するよう呼びかける。正規のWebサイトならば認証に失敗するため、その後に正しい認証情報を用いてログインするよう注意喚起を行う。

Q3-1
盗聴したパケットと同じ順番でポートに通信要求を行う。

Q3-2
過去に受信したものと同一のランダムデータをもつSPAパケットは破棄されるため。

Q4-1
不審なデータを排除するネットワークサービス
（CDNは思いつかなかった...）

Q4-2
DDoS攻撃に使えるPCが取引専用PCに限定されるため。

望み薄いかなぁ...

免除５回受けて結局全部落ちてるんだけど馬鹿すぎる問３多分２点だわ
私情はさておき問２こんな感じです（色々間違えてると思いまｓｙ）
１（１）
公開Weｂサーバを攻撃対象として多数の送信元IPアドレスからHTTPでのGETリクエストを大量に送りつける。
１（２）正常な業務運営においても異常として検知されること
１（３）ｂがK    ｃがF

２（１）ｄ,
攻撃者の PC にVPN クライアントソフトウェアを導入し、正規利用者が入力した利用者 ID とパスワードの情報を VPN- H へ送信する

e
セキュリティコード入力画面を装った罠のウェブサイトに利用者を誘導して、利用者のスマートフォンに SMS で届いたセキュリティコードを入力させる

２（２）荒れている注意喚起について：
H社ではVPN 接続 を する ため に 必要 な 情報 は、 VPN クライアントソフトウェアにおけるダイアログボックスからしか入力を求めることはない。したがっ て、 もし URL リンク の 先 の ウェブサイト から VPN 接続のための情報を求められても入力してはならない。


３（１）
パケットを解析し、同様の順番でポートへ通信要求をする。

３（２）
一度利用した SPA パケットと同じデータを持つパケットは送信先で破棄されるため

４（１）  知らん

４（２）
取引 先 向け Web サーバーとの通信が取引専用 PC だけに限定されるから

ちなみに設問2の攻撃手順の下りなんだけど
問題読む限り、多分先にパスワードと ID を入力確定して送信させてからじゃないとSMSへのセキュリティコードは飛ばないんじゃないかな？でどう書くか？すごく迷ったけど、 ID とパスワードとSMSを一気に送信することはできないのかなって迷宮入りしました（有識者書き方求む！）

すみません。要するに何が言いたいかというと攻撃例（１）の手順を踏んだだけだとSMS は送られなくて、一旦攻撃者側で同じ VPN ソフトを入れて（フィッシングで吊った）利用者 ID とパスワード打たないといけないのかなってところがわからないです

手順の問題は、
（１）偽サイトに誘導してIDとパスワードを入力させる
（２）偽サイトで詐取したIDとパスワードで正規サイトにログインを試行
（３）セキュアコードを推測してログインを試行
（４）社内ネットワークに不正接続


上記（２）（３）のように書きました

わからんかったんやけど
(3)も偽のメッセージ入力画面に入力させたものを攻撃者側vpnソフトのメッセージ入力画面で入力したら通らないの？

(2) 偽サイトにID,PW入力させて、攻撃者が自分のPCでVPNツールにそれを入力して認証すると、利用者のスマホにセキュアコードが届く
(3)偽サイトにセキュアコードを入力させて、攻撃者が自分のPCでセキュアコードを入力して送信

セキュリテイ研修を定期的に全社員に受講させるみたいなこと書いた

設問1
(1) 公開WEBサーバと取引先向けWEBサーバに対して、大量のGETコマンドを送り付ける
(2) 攻撃ではないトラフィック量も異常と誤検知してしまう
(3)
 b.DNS-K
 c.DNS-F

設問2
(1)
 d.認証時に罠サイトを中継させることで通信を盗聴してトークンを窃取する
 e.窃取したトークンを使って利用者になりすましてログインを試行する
(2) いつもと違うダイアログや、証明書エラーが表示された時は、操作を中断して情報システム部に連絡する

設問3
(1) 正規の無線APになりすましたAPを用意して通信を盗聴する
(2) 通信許可されているポートをスキャンしてもSPA検証に成功しなければ応答しないため

設問4
(1) ふるまい検知認証サービス
(2) インターネットから取引サーバに対しては取引専用PCからしかアクセスできないから


対戦お願いします
設問2(1)は問題の意図が読み切れなかったので全く自信がありません
設問3(1)はなんで急に無線？って自分でも思ったけど他にパケット盗聴する手段が思い浮かばなかった

>設問2
>(1)
>e.偽のセキュリティコード入力画面を表示し、正規利用者にSMSで送られるセキュリティコードを入力させ、攻撃者側でもVPNクライアントソフトウェアに入力し不正ログインする
多要素認証に指紋とか生体情報使われてたら成立しないよなと思ったんだけどなあ
多分これが正解なんだろうな…

ID、PWD入力後にセッションコードがSMSで送られてくるのに時間がかかったら怪しいと思え、って書いたけど、ID、PWDの受け渡しなんてスクリプト書けばできるからブランクタイムなんてないんだよな。
でも他に思い浮かばず。

(1) 公開WEBサーバに対して、大量のHTTP GETメソッドで通信する
(2) 正常なトラフィック量も異常と誤検知してしまう
(3)
 b.DNS-K
 c.DNS-F

設問2
(1)
 d.ID・PAssを攻撃者がVPNダイヤログに入力する
 e.画面遷移をしてセキュリティコードを入力させる。窃取したセキュリティコードを攻撃者が入力して認証完了
(2) メールから罠サイトにIDとPASSを入力させて盗むサイバー攻撃が発生しています。リモートワークでVPN接続する際は、メールのＵＲＬからではなく、ＶＰＮクライアントソフトのダイヤログから入力するようにしてください。

設問3
(1) あらかじめ設定されている順番にポートに通信要求を行う
(2) ＳＰＡパケットのランダムデータとハッシュ値の検証時に失敗するため

設問4
(1) ネットワークロードバランサ
(2) インターネットから取引サーバに対しては取引専用PCからのアクセスに限定できるため

問4の1ってCDNじゃないとだめかな？
ISP側でDDoS攻撃をフィルタしてくれるサービスがあった筈だからそれ使うみたいなこと書いちゃった。通信回線自体の問題だからVPNサーバーとかも包括的に守れるやつじゃないとな～と思ったんだけど

一度くらい、落ちたと思って受かってみたい。

59点で2回も落ちてるので。。。

>問３多分２点だわ

同じく問３は２点です。
終わった…。
オール○で撃沈しました。

問２は８割は行けたと思います。
もう何回目か分からん。
以前より絶対に難易度上がってると思う。

設問4.1って単に"クラウドサービスに乗り換える"じゃだめなの？

自分はこんな感じで解答しました

設問1
（1）公開Webサーバ、取引先向けWebサーバを攻撃対象に、大量のHTTP GETリクエストを送り付ける。
（2）正規の利用者の通信が異常として検知される
（3）b：DNS-K , c：DNS-F

設問2
（1）
d：罠のWebサイトに入力させた正規利用者の利用者ID、
    パスワードを取得し、攻撃者のVPNダイアログに入力する。

e：正規利用者のスマートフォンにSMSで届いたセキュリティコードを罠のWebサイトに入力させ、
    取得したセキュリティコードを攻撃者のVPNダイアログに入力し認証する。

（2）
VPN接続時の認証はVPNクライアントソフトウェアのVPNダイアログで行い、
Webサイトに利用者ID,パスワードを入力させることはありません。

設問3
（1）R-PCのマルウェアが通信内容を攻撃者に送信している場合
（2）HMACベースのワンタイムパスワードにより送信元の真正性を送信先が検証できるから

設問4
（1）CDNサービスを利用する
（2）インターネットから取引先向けWebサーバへの通信を拒否するように設定したから。

※設問2（1）（2）、設問3（1）の解答うろ覚え

設問3（1）が全くわからず、、、
他の方の解答も結構バラバラな感じなので部分点に期待って感じでしょうか。。。

認証とかネットワークに力入れてたから今回大爆死

設1  (1)公開webサーバを対象に攻撃者は送信元ipアドレスを偽装しhttpリクエストをgetメソッドで大量に送り付ける
(2)不正な通信を検知せずにそのまま通過させる
(3)b=dns-k  c=dns-f

設2  (1)d=攻撃者は不正に入手した正規利用者の利用者IDとパスワードを使用し不正アクセスを試みて正規利用者のスマートフォンにセキュリティコードを送信させる
e=正規利用者に届いたセキュリティコードを偽のセキュリティコード入力画面で入力させてセキュリティコードを不正に得る
(2)VPN-Hを経由しない通信は警告メッセージを出させて、警告メッセージ表示時はアクセスをやめさせる(わからなかった)

設3 (1)盗聴したパケットのポート番号の順番を総当たりして設定Pを突破する
(2)以前受信したものと同じランダムデータを持つSPAパケットを受信した場合破棄されるため

設4(1)キャッシュサーバを提供するCDNサービス
(2)インターネットから取引サーバに対しては取引専用PCからのアクセスのみになるため

どうだろ抽象的過ぎた？？

＞文系非情報系大学生さん

個人的な意見ですが、かなり具体的に書かれていると思います。文系非情報系でここまで書けるのは本当にすごいです。私も学生ですが、尊敬します...

>３（１）パケットを解析し、同様の順番でポートへ通信要求をする。
私も1度この回答を書いたのですが、「④SPAなら突破できない」とあるので、
これだとSPAでも突破できてしまうと考え、突破できない方法として
セッションハイジャック？みたいな内容を書きましたが・・・・
元のままの方がよかったか・・・

>私も1度この回答を書いたのですが、「④SPAなら突破できない」とあるので、
これだとSPAでも突破できてしまうと考え
設定Pは、パケットの到着ポートと順番から真正性を判断しているのに対して、SPAはワンタイムパスワードをめたHMACによ真正性を判断しています
下線部③では、盗聴による設定の突破についてですから、盗聴したポートと順番からリピート攻撃すれば突破できてしまう設定Pと違ってワンタイムパスワードを用いるSPAではリピート攻撃には有効性を認められるんじゃないかなと思います

> Matsurika
そう言ってもらえてうれしいです、、！
早速設問1の(2)不正な通信を検知せずにそのまま通過させるが全く逆のこと言っていて試験中自分焦っていたんだなと反省しています。。
同じ学生仲間として戦った自分を褒めてあげましょう！

>シータさん
ご回答ありがとうございます。
修正しなければよかったと後悔しつつ、部分点を期待しつつ・・・待ちます

従業員全員への注意喚起には様々な方法があるんですね、勉強になります。

設3-2ですが、ワンタイムパスワードが使い捨てであることを明記すべきです。

説4-1ですが、プロキシサーバーの図に注がついていたので解答に使いました。注は必ず使われるはずなので。

dとeで答えは技術的には分かったけど、2つのマスにどう分けるかで悩んで、eの方がdの倍ぐらいのボリュームに成っちゃんだけど皆はどう分けた？

>ラムネさん

設問3-2のところ、以前受信したものと同じランダムデータを持つSPAパケットを受信した場合破棄されるため

では間違いなのでしょうか？

この投稿は投稿者により削除されました。(2024.04.23 12:23)

この投稿は投稿者により削除されました。(2024.04.23 02:13)

>文系非情報系大学生さん

SPAについて調べたところ、ランダムデータで
リプレイ攻撃を回避する仕組みでした。なので正解かと思います。
うーん……でもHMACワンタイムパスワードでもリプレイ攻撃を回避できるので、自分としては両方正解にしてほしいですね。

>文系非情報系大学生さん

自分も同様の回答をしました。点もらえると嬉しいですね...！

>> らむねさん
私も二つで悩んでました。。

>> ぴこさん
そうですね！祈りましょう（笑）

この投稿は投稿者により削除されました。(2024.04.23 18:58)

外部サービスを利用するでCDNとか…
問題文にないやつ書く感じだったんですね。
S-APPLのことかと思いました。

問4-1はCDNじゃないと不正解になるんですかね、、
単にネットワーク負荷を減らす目的であればクラウド利用でもいいのかなと思ったのですが💦

>名無しさん(No.132) さん

>問4-1はCDNじゃないと不正解になるんですかね、、

具体的に答えよとあるので、クラウド利用だけだと抽象的なので怪しいですね。
クラウドと言ってもIaaSなのか、PaaSなのか、SaaSなのかが判断つかないと思いますし。。。

設問1(2)しきい値が低い→過検知が答えのようですが…。
これはアノマリ型だからしきい値が高くても低くても過検知が答えになりますか？
もしシグネチャ型だったならば、しきい値より高くても低くても異常の見逃しが答えでしょうか…済みません、初歩的な質問で。

CDNはそもそもコンテンツを共有するニュアンスが大きいと思うので、ddos対策サービスとか帯域制限装置とか、
問題の意図に寄せた表現の方が良い気がしますが、どうでしょう。。
(問題文でCDNがその様なニュアンスで記述されてたら話は別ですが)

02さんと同じ意見です。
CDNにもddos対策できる機能があったりしますが、コンテンツ配信が本来の機能であり、ddos対策はオマケ程度の認識です。
本文中に出てこないCDNを急に書いてもいいものか悩みました。

cdnを利用することでddos対策になるのでcdnでしょう。
支援士の過去問にもcdnは[]対策になる    空欄はddosとありましたから

設問2-(2) 普段と違う画面の場合は認証情報を入力しない
これは0点ですかね・・・

HTTP  GET  FLOODが解答例では公開・取引先含むサーバですが
問題文UDP Floodでは  公開WEBしか書かれていません。

なぜUDP  Floodでは公開側しか書かれていないのでしょうか？
速報が間違っていると思いますか？

攻撃者が普段と同様の画面をブラウザに作った場合（ブラウザ上でウイルス感染しましたア面等）リテラシーの低いユーザが気付けると判断するかどうかにかかっているかと

CDNじゃ短すぎるから「代理でコンテンツを配信してくれるサービスを使う」みたいに書いちゃったよ……