- トップページ
- 基本情報技術者
- 平成25年度春季問題
- 平成25年度春季解答・解説
平成25年度春季解答
問題36
UDPを使用しているものはどれか。
| ア | FTP |
| イ | NTP |
| ウ | POP3 |
| エ | TELNET |
解答:イ
<解説>
UDPとは、インターネットで利用される標準プロトコルで、OSI参照モデルのトランスポート層にあたる。ネットワーク層のIPと、セション層以上のプロトコルの橋渡しをする。
インターネットでは、トランスポート層のプロトコルとしてTCPも使われるが、UDPは転送速度は高いが信頼性が低く、TCPは信頼性は高いが転送速度が低い。
したがって、UDPは動画や音声のリアルタイム配信などに使用される。
| ア | × | FTP(File Transfer Protocol)とは、インターネットやイントラネットなどのTCP/IPネットワークでファイルを転送するときに使われるプロトコルである。 UDPはデータが相手に届いたかどうかを考慮しないので確実にデータを送信する用途には向いていない。 |
| イ | × | NTP(Network Time Protocol) とは、コンピュータの内部時計を、ネットワークを介して正しく調整するプロトコルである。 時刻 同期にはリアルタイム性が必要なのでUDPを使用する。 |
| ウ | × | POP3とは、インターネットやイントラネット上で、電子メールを保存しているサーバからメールを受信するためのプロトコルである。 UDPはデータが相手に届いたかどうかを考慮しないので確実にデータを送信する用途には向いていない。 |
| エ | ○ | Telnet(Telecommunication network)とは、汎用的な双方向8ビット通信を提供する端末間およびプロセス間の通信プロトコルである。 UDPはデータが相手に届いたかどうかを考慮しないので確実にデータを送信する用途には向いていない。 |
問題37
手順に示す処理を実施したとき,メッセージの改ざんの検知の他に,受信者Bがセキュリティ上できることはどれか。
[手順]
送信者Aの処理
(1)メッセージから,ハッシュ関数を使ってダイジェストを作成する。
(2)秘密に保持していた自分の署名生成鍵を用いて,(1)で生成したダイジェストからメッセージの署名を生成する。
(3)メッセージと,(2)で生成したデータを受信者Bに送信する。
受信者Bの処理
(4)受信したメッセージから,ハッシュ関数を使ってダイジェストを生成する。
(5)受信したデータ,(4)で生成したダイジェスト及び送信者Aの署名検証鍵を用いて,署名を検証する。
| ア | メッセージが送信者Aからのものであることの確認 |
| イ | メッセージの改ざん部位の特定 |
| ウ | メッセージの盗聴の検知 |
| エ | メッセージの漏洩の防止 |
| ア | メッセージが送信者Aからのものであることの確認 |
| イ | メッセージの改ざん部位の特定 |
| ウ | メッセージの盗聴の検知 |
| エ | メッセージの漏洩の防止 |
解答:ア
<解説>
デジタル署名とは,送られてきたデータの送信元が間違いないか,伝送経路上でデータが改ざんされていないかを確認するための技術である。
| ア | ○ | 「(5)受信したデータ,(4)で生成したダイジェスト及び送信者Aの署名検証鍵を用いて,署名を検証する。」よりメッセージが送信者Aからのものであることの確認ができる。 |
| イ | × | メッセージの改ざん部位の特定できる情報がない。 |
| ウ | × | メッセージの盗聴の検知はできない。 |
| エ | × | メッセージの漏洩の防止はできない。 |
問題38
手順に示すセキュリティ攻撃はどれか。
[手順]
(1)攻撃者が金融機関の偽のWebサイトを用意する。
(2)金融機関の社員を装って,偽のWebサイトへ誘導するURLを本文中に含めた電子メールを送信する。
(3)電子メールの受信者が,その電子メールを信用して本文中のURLをクリックすると,偽のWebサイトに誘導される。
(4)偽のWebサイトと気付かずに認証番号を入力すると,その情報が攻撃者に渡る。
| ア | DDoS攻撃 |
| イ | フィッシング |
| ウ | ボット |
| エ | メールヘッダインジェクション |
| ア | DDoS攻撃 |
| イ | フィッシング |
| ウ | ボット |
| エ | メールヘッダインジェクション |
解答:イ
<解説>
| ア | × | DDoS攻撃(Distributed Denial of Service attack)とは、踏み台と呼ばれる多数のコンピュータが、標的とされたサーバなどに対して攻撃を行うことである。 |
| イ | ○ | フィッシングとは、金融機関などからの正規のメールやWebサイトを装い、暗証番号やクレジットカード番号などを詐取する詐欺行為のことである。 |
| ウ | × | ボットとは、受諾者の承認なしに無差別に送付されるメールのことである。 |
| エ | × | メールヘッダー・インジェクションとは、問い合わせフォームなどのメールを送信する画面で、メールの内容を改ざんし、迷惑メールの送信などに悪用することである。 |
問題39
Xさんは,Yさんにインターネットを使って電子メールを送ろうとしている。電子メールの内容を秘密にする必要があるので,公開鍵暗号方式を用いて暗号化して送信したい。電子メールの内容を暗号化するのに使用する鍵はどれか。
| ア | Xさんの公開鍵 |
| イ | Xさんの秘密鍵 |
| ウ | Yさんの公開鍵 |
| エ | Yさんの秘密鍵 |
解答:ウ
<解説>
公開鍵の暗号方式には、つぎの特徴がある。
- 暗号鍵を公開し,複合鍵は非公開(非可逆圧縮)
- 受信者の公開鍵で暗号化,受信者の複合鍵で複合
よって、受信者(Yさん)の公開鍵で暗号化,受信者(Yさん)の複合鍵で複合する。ウが正解である。
問題40
SQLインジェクション攻撃を防ぐ方法はどれか。
| ア | 入力中の文字がデータベースへの問合せや操作において,特別な意味を持つ文字として解釈されないようにする。 |
| イ | 入力にHTMLタグが含まれていたら,HTMLタグとして解釈されない他の文字列に置き換える。 |
| ウ | 入力に,上位ディレクトリを指定する文字列(../)を含むときには受け付けない。 |
| エ | 入力の全体の長さが制限を超えているときは受け付けない。 |
解答:ア
<解説>
SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。
SQLインジェクションの対応としては、SQL文の組み立てには必ずエスケープ処理を実装する(特別な意味を持つ記号文字が普通の文字として解釈されるように処理する)などの対策が有用である。
| ア | ○ | 入力中の文字がデータベースへの問合せや操作において,特別な意味を持つ文字として解釈されないようにすることでSQLインジェクションを防ぐことができる。 |
| イ | × | 入力にHTMLタグが含まれていたら,HTMLタグとして解釈されない他の文字列に置き換えることは悪意のある命令文としてデータベースのデータを改ざんしたり不正取得されることを防ぐ方法である。 |
| ウ | × | ディレクトリによって不正なSQL文の実行を防げない。 |
| エ | × | 入力の長さを制限しても不正なSQL文の実行を防げない。 |
お問い合わせ
