令和2年秋 午後1問1
広告
ささみんさん
(No.1)
設問3(2)の修正後の処理について質問があります。
正解は「2-aと同じメッセージを表示する」となっていますが、
これはつまり「決済アプリは、“電子メールを送信しました。”と表示する。」
と言うことでしょうか?
またこの場合、正解の修正後の処理にメールの内容が書かれていないことから、
実際には電子メールを送らないのでしょうか?
ご回答よろしくお願いします。
問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_ans.pdf
正解は「2-aと同じメッセージを表示する」となっていますが、
これはつまり「決済アプリは、“電子メールを送信しました。”と表示する。」
と言うことでしょうか?
またこの場合、正解の修正後の処理にメールの内容が書かれていないことから、
実際には電子メールを送らないのでしょうか?
ご回答よろしくお願いします。
問題
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_qs.pdf
解答
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2020r02_oct/2020r02o_sc_pm1_ans.pdf
2022.09.04 13:50
pixさん
★SC ダイヤモンドマイスター
(No.2)
>これはつまり「決済アプリは、“電子メールを送信しました。”と表示する。」
>と言うことでしょうか?
攻撃者の目的はスクリーニングです。
同じメッセージを表示することにより攻撃者は登録済か未登録かの判断が
できなくなります。
>またこの場合、正解の修正後の処理にメールの内容が書かれていないことから、
>実際には電子メールを送らないのでしょうか?
以降の処理はオプションになりますので、いろいろなケースが考えられます。
・メールを送信しない、運用者もなにもしない
無害と判断し、本当になにもしません
・メールを送信しない、運用者はスクリーニングを検知して対応する
運用者はスクリーニングされていることを検知して次のアクション(アクセス調査・
ログ解析など)を行います
・メールを送する、運用者はスクリーニングを検知して対応する
運用者の対応に加えて、メール受信者に「登録処理が再実行されているが
心当たりがあるか」や「攻撃の可能性があるのでパスワードの変更を推奨」を促す
メールを送信したりします
2022.09.05 11:53
ささみんさん
(No.3)
pixさん
詳しい解説をありがとうございます。おかげさまで状況がよく分かりました。
一つ腑に落ちないのですが
メールを実際に送らない場合
メールアドレスの持ち主が(一度登録したことを忘れていたりして)
同じメールアドレスで2回目の登録をしようとした場合、
送信されたといわれたメールが届かないので
混乱するのではないかと心配です。
これは仕方ないのでしょうか?
詳しい解説をありがとうございます。おかげさまで状況がよく分かりました。
一つ腑に落ちないのですが
メールを実際に送らない場合
メールアドレスの持ち主が(一度登録したことを忘れていたりして)
同じメールアドレスで2回目の登録をしようとした場合、
送信されたといわれたメールが届かないので
混乱するのではないかと心配です。
これは仕方ないのでしょうか?
2022.09.05 20:06
pixさん
★SC ダイヤモンドマイスター
(No.4)
>これは仕方ないのでしょうか?
仕方ないと思います。
逆に攻撃者によって短時間で同じメールアドレス登録が何回も実行される場合も
考えられます。
この場合はすべてメールを送信してしまうと、スパムメールになるという
望ましくない状況になります。
もし、運用側がこの問題に対処するのであれば、メール登録処理にリスクベース
認証機能を実装することが解決策として適切と思われます。
最後にログインした際の接続元IPアドレス、端末情報を記録しておきます。
再登録時に接続元IPアドレスから推測される地理的情報や、端末情報が
同じであれば、正規の登録とみなし「すでにメールアドレスが登録されて
いる」内容のメールを送信します。
それ以外の場合、特に地理的情報が海外の場合は高確率で不正アクセス、スク
リーニングである可能性が高いため、メールを送信しないというのが適切な
対処になると思われます。
2022.09.05 20:31
ささみんさん
(No.5)
pixさん
さらに詳しい解説をありがとうございます。
非常にスッキリしました。
スパムメールになってしまう可能性やリスクベース認証実装での対応など
今回の事例での利用について詳しく説明いただいたおかげで
今まで勉強してきた「点」や「線」の理解が、「面」にまで拡がった気がします。
ありがとうございました。
さらに詳しい解説をありがとうございます。
非常にスッキリしました。
スパムメールになってしまう可能性やリスクベース認証実装での対応など
今回の事例での利用について詳しく説明いただいたおかげで
今まで勉強してきた「点」や「線」の理解が、「面」にまで拡がった気がします。
ありがとうございました。
2022.09.06 11:03
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告