- トップページ
- 応用情報技術者
- 平成28年度春季問題
- 平成28年度春季解答・解説
平成28年度春季解答
問題41
Webアプリケーションのセッションが攻撃者に乗っ取られ、攻撃者が乗っ取ったセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として、最も適切なものはどれか。
| ア | Webブラウザとの間の通信を暗号化する。 |
| イ | 発行済セッションIDをCookieに格納する。 |
| ウ | 発行済セッションIDをURLに設定する。 |
| エ | パスワードによる利用者認証を行う。 |
解答:エ
<解説>
セッションを維持するためのセッションID を推測し,正当なブラウザになりすましてWeb サーバに推測したセッションID を送り込み,ブラウザとWeb サーバ間のセッションを乗っ取ってしまう攻撃方法をセッションハイジャックと呼ぶ。
| ア | × | Webブラウザとの間の通信を暗号化するのは、Webブラウザに送信する直前ではなくセッション取得時から行う。 |
| イ | × | 発行済セッションIDをCookieに格納することは、盗聴などによりセッションID を知られる危険がある。 |
| ウ | × | 発行済セッションIDをURLに設定することは、盗聴などによりセッションID を知られる危険がある。 |
| エ | ○ | セッションハイジャックが発生した場合に個人情報の漏えいなどの被害を拡大させないためには,Web アプリケーションが重要な情報をWeb ブラウザに送る前に,パスワードなど利用者しか知らない情報を用いて認証を行うことが有効である。 |
問題42
クラウドのサービスモデルをNISTの定義に従ってIaaS、PaaS、SaaSに分類したとき、パブリッククラウドサービスの利用企業が行うシステム管理作業において、PaaSとSaaSでは実施できないが、IaaSでは実施できるものはどれか。
| ア | アプリケーションの利用者ID管理 |
| イ | アプリケーションログの取得と分析 |
| ウ | 仮想サーバのゲストOSに係るセキュリティの設定 |
| エ | ハイパバイザに係るセキュリティの設定 |
解答:ウ
<解説>
NIST が公表しているクラウドコンピューティングの定義では,IaaS,PaaS,SaaS の各サービスモデルを次のように定義している。
- IaaS(Infrastructure as a Service)
- サービス事業者は,ハードウェアやネットワーク機器といったサービスのインフラだけを提供する。利用者は,OS 及びアプリケーションソフトウェアを導入してシステムを運用する。利用者には,インフラの管理や制御を行う権限や責任はないが,OS に関する設定を行ったり,セキュリティパッチを適用したりする権限や責任がある。
- PaaS(Platform as a Service)
- サービス事業者は,インフラに加えてサーバ上で稼働するOS も提供する。利用者は,アプリケーションソフトウェアを導入してシステムを運用する。利用者には,アプリケーションソフトウェアの管理や制御を行う権限と責任をもち,インフラの管理や制御を行う権限や責任はなく,OS に関する設定やセキュリティパッチ適用を行う権限や責任もない(OSはサービス事業者が所有しているため)。
- SaaS(Software as a Service)
- サービス事業者は,インフラとOS に加えてアプリケーションソフトウェアも利用者に提供する。利用者には,アプリケーションソフトウェアの管理や制御を行う権限や責任はなく,またインフラの管理や制御,及びOS に関する設定やセキュリティパッチの適用に関する権限や責任もない。
| ア | × | 全てのモデルで実現可能である。 |
| イ | × | 全てのモデルで実現可能である。 |
| ウ | ○ | PaaS やSaaS にはその権限と責任がないため実施できないが、IaaSでは実施できる。 |
| エ | × | ハイパバイザは各OS の稼働状況を管理するソフトウェアであるため,利用者は実施できない。 |
問題43
暗号化や認証機能を持ち、リモートからの遠隔操作の機能をもったプロトコルはどれか。
| ア | IPsec |
| イ | L2TP |
| ウ | RADIUS |
| エ | SSH |
解答:エ
<解説>
| ア | × | IPsec(Security Architecture for Internet Protocol)は、暗号技術を用いて、IPパケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。IpV6ではIPsecが標準で組み込まれている。 |
| イ | × | L2TP(Layer 2 Tunneling Protocol)とは、コンピュータネットワークにおいて VPN (仮想プライベートネットワーク) をサポートするために用いられるトンネリングプロトコルである。 |
| ウ | × | RADIUS(Remote Authentication Dial-In User Service)は、ダイヤルアップユーザの認証システムのことである。 |
| エ | ○ | SSH(Secure Shell)は、暗号や認証の技術を利用して、ネットワークを介して別のコンピュータにログインしたり、遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするためプログラム。 |
問題44
スパムメール対策として、サブミッションポート(ポート番号587)を導入する目的はどれか。
| ア | DNSサーバに登録されている公開鍵を用いて署名を検証する。 |
| イ | DNSサーバにSPFレコードを問い合わせる。 |
| ウ | POP before SMTPを使用して、メール送信者を認証する。 |
| エ | SMTP-AUTHを使用して、メール送信者を認証する。 |
解答:エ
<解説>
サブミッションポートとは,ユーザーのメール・ソフト(メーラー)からメール・サーバーにメールを届けるときに使う送信専用のあて先ポートのこと。迷惑メール対策の一環として,プロバイダでの採用が始まりつつある。
TCP/IPで通信する際,パソコンやサーバーは「ポート番号」でアプリケーションを識別する。通常,パソコンのメール・ソフトからメールを送信する場合は,SMTP(Simple Mail Transfer Protocol)というプロトコルでメール・サーバーの25番ポートあてに送る。それに対して,サブミッションポートを採用したメール・サーバーにメールを送信する場合は,SMTPで587番ポートあてにメールを送る。さらに,このときユーザー認証技術「SMTP AUTH」(SMTP authentication)が必須になる。
したがって、エが正解である。
問題45
Man-in-the-Browser攻撃に該当するものはどれか。
| ア | DNSサーバのキャッシュを不正に書き換えて、インターネットバンキングに見せかけた偽サイトをWebブラウザに表示させる。 |
| イ | PCに侵入したマルウェアが、利用者のインターネットバンキングへのログインを検知して、Webブラウザから送信される振込先などのデータを改ざんする。 |
| ウ | インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき、その偽サイトに接続させて、Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。 |
| エ | インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ、Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し、利用者になりすましてログインする。 |
解答:イ
<解説>
| ア | × | DNSキャッシュポイズニング攻撃の説明である。DNSキャッシュポイズニングとは、DNSサービスを提供しているサーバ(DNSサーバ)に偽の情報を覚えこませる攻撃手法である。 |
| イ | ○ | Man-in-the-Browser攻撃の説明である。 Man-in-the-Browser攻撃とはプロキシ型トロイの木馬というマルウェアによってWebブラウザの通信を盗聴、改竄を行う攻撃である。具体例としては、オンラインバンキングへのログインイベントなどを検知するとその通信を乗っ取って、振込先を改ざんして預金を盗む事例などが挙げられる。 |
| ウ | × | フィッシング攻撃の説明である。フィッシングとは、金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺行為のことである。 |
| エ | × | 中間者攻撃(Man-in-the-Middle攻撃)の説明である。中間者攻撃とは、通信している2人のユーザーの間に第三者が介在し、送信者と受信者の両方になりすまして、ユーザーが気付かないうちに通信を盗聴したり、制御したりすることである。 主にパスワードの不正取得やデータの盗聴などを目的として行われる。 |
お問い合わせ
