HOME»情報処理安全確保支援士掲示板»令和2年秋  午後1  設問1(1)
投稿する

令和2年秋  午後1  設問1(1) [1703]

 匿名さん(No.1) 
IPAの解答例が以下となっています。
【手段】
・他者のバーコードを会員番号から推測して表示する。
・他者の会員番号を窃取してバーコードを生成し、決済する。
【問題】
・バーコードの内容が会員番号であること
・バーコードが永続的に利用できること

私は以下のように考えていました。
【手段】
・アプリにログイン済みのスマートフォンを盗難し、決済する。
・不正に入手したログインIDとパスワードでログインし、決済する。
【問題】
・ログインができればバーコードを表示できてしまうこと

公式解答を見て私の解答はスマホのロックが解除できる前提であり、不正に入手…というのは飛躍していると感じました。
問題についてはなるほどと思ったのですが、手段についての解答はどこから情報を読み取ればよいのか分かりませんでした。

・窃取した会員番号からバーコードを生成する
→この決済アプリの挙動として、ログイン後利用者のアカウント情報から会員番号を取得してバーコードを表示するという感じなのかと思いました。
  そのため、ログイン済みのアカウントは自分のものだけど会員番号は他人のものを使う、といったような状況がいまいち理解できませんでした。
  ポイントカードを紐づけるような感じで、使っている会員番号をアプリ内で入力して登録する、といったようなイメージなのでしょうか?

・会員番号から推測して表示する
→例えば会員番号が連番で割り振られている、などの記載があれば納得できるのですが問題文の「自動で発番される」からではここまで考えられませんでした。
  その会員番号も16桁とだけ書かれており、英数字が混在している場合などは推測も難しいのでは?と思ったのですが、違う方向に考えすぎでしょうか…。

長くなりすみませんが、アドバイスなどいただけると幸いです。
2024.09.08 16:08
pixさん(No.2) 
SC ダイヤモンドマイスター
大変恐縮ですが、全体的に主観的な内容で詰めが甘く感じます。

>公式解答を見て私の解答はスマホのロックが解除できる前提であり、
>不正に入手…というのは飛躍していると感じました。
スマートフォンがロックされていることが前提になっています。
もし、ロックまで時間がかかるまたはロックされていないケースも考えられます。
この場合で一番考えられるのは、ショルダーハッキングです。
ショルダーハッキングとは肩越しなど背後や横から画面をみて情報を窃取する
方法です。

>・窃取した会員番号からバーコードを生成する
会員番号はいたるところに落ちているケースが考えらえます。
考えられるケースとして決済後のレシートに会員番号が書いてあり、それを
拾うなど比較的単純な場合も多々あります。
会員番号がわかれば、あとはバーコードを生成するアプリと組み合わせれば
偽のバーコードを生成することも可能です。

バーコードを生成した後の画面はなにも正規のソフトウェアの画面でなくても
たんに正規のソフトウェアのスクリーンショット画面に偽のバーコードを付けた
だけでも構いません。
その画像を店員に見せたとしてもぱっとみ正規のソフトウェアが生成した
バーコードか、単なるスクリーンショットかを見分けるのは難しいです。
それ以上に最近はセルフレジなどの場合もありますので、偽のバーコードでも
セルフレジなら簡単に欺けます。

>・会員番号から推測して表示する
難しく考えすぎです。自分の会員番号がN番であれば、単純に(N - 1)番は
あるのが普通です。
また、サンプルとして4,5件会員番号がわかれば、会員番号の割り振り方も
容易に想像できます。

スレ主様は個人的な小規模の窃盗をイメージしているようですが、最近の傾向として
海外のハッキング集団・犯罪集団が組織的な犯罪を行うケースが多くなって
きております。
本問のように甘いシステムだと途端に悪用されて、多大な金銭的被害を被ることに
なります。

そのため、こういった問を考えるときは
・主観で判断しない
・自分がハッキング集団・犯罪集団のような組織的な犯罪者ならばどのような
  方法で犯罪を行うかといった、客観的な視点から判断することが重要
になります。
2024.09.09 09:21
pixさん(No.3) 
SC ダイヤモンドマイスター
補足です。
SCの問題を解答する時は自分が
・攻撃者
・ハッカー集団
・犯罪集団
といったいわゆる「悪人」の立場になって考えることが重要です。
また悪人はズル「賢い」ことが大前提です。普通の人間が思いつかないようなことを
平気で行います。
「善人」の「楽観」的思考だとなかなか解答へ至れないです。

突き詰めれば、安全確保支援士の使命はシステムを通じて「悪人と戦う」ことです。
2024.09.09 09:34
 匿名さん(No.4) 
pixさん
いつも回答拝見しております。ご回答いただきありがとうございます。

>スマートフォンがロックされていることが前提になっています。
>もし、ロックまで時間がかかるまたはロックされていないケースも考えられます。
おっしゃっている通りですね。自分で前提を作り出していますね…。

>バーコードを生成した後の画面はなにも正規のソフトウェアの画面でなくても
>たんに正規のソフトウェアのスクリーンショット画面に偽のバーコードを付けた
>だけでも構いません。
この発想は全くなかったのでようやく問題点について納得いたしました。
読み込ませることさえできればこのやり方でも可能なのですね。

>また、サンプルとして4,5件会員番号がわかれば、会員番号の割り振り方も
>容易に想像できます。
こちらも「複数知る」という発想が全くなかったです。いくつか見ればパターンは分かりますね。

>・主観で判断しない
>・自分がハッキング集団・犯罪集団のような組織的な犯罪者ならばどのような
>  方法で犯罪を行うかといった、客観的な視点から判断することが重要
最近点数が取れるようになって調子に乗っていたのですがかなり視野の狭い考え方をしていたと気づきました。
考えが及ばなかったりあらぬ方向に思考を巡らせたりしてしまっているので、色んな目線から考えていけるようにしていきます。
分かりやすく教えてくださりありがとうございました。
2024.09.09 10:47
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop