ことさら−古都プログラマーの更級日記

京都でお寺を回りながら御朱印集めをしていたり、LoLをしたり試合を見に行ったりしているエンジニアのブログです。技術的なはなしとか日常的なはなし、カメラやLoLや競馬の話も書きます。右メニューに検索やらカテゴリーやらがあるので、見たい記事だけ見てね!

セキュリティスペシャリスト(情報処理安全確保支援士)H26春午後Ⅰ問3

もくじ

問題(pdf)

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2014h26_1/2014h26h_sc_pm1_qs.pdf

設問1

マルウェアJは単純にパスワードを盗もうとするマルウェアである。

(1) フィッシングサイト

フィッシング(釣り)サイト

(2)

法人利用者の場合、クライアント証明書によりTLS接続を行っている。クライアント証明証、つまり、システム利用者のPCの証明書(秘密鍵)がないとログインできない。

設問2

マルウェアKはパスワードを盗むマルウェアではなく、送金時の送金先を不正に変更するようなマルウェアである。

(1)

最近のブラウザであれば、証明書が正しくないサイトを閲覧している場合は、警告画面が出てページが表示されない。

(2)

    1. 123456
    1. 10000

マルウェアによって、確認画面があたかも正しいように表示させるが、実際には別の講座に送金されているのである。

設問3

(1)

    1. 対策になる
    1. 対策になる

ワンタイムパスワード認証の例としては、PCからログインしようとするとスマホアプリやメールなどにパスコードが送信され、それを入力しないとログインが完了しない方式である。LINEなんかでよく見られる。パスワードが盗まれても、このパスコード(ワンタイムパスワード)が分からないとログインできないため、マルウェアJには有効である。

送金内容認証は、利用者毎に異なる鍵(共通鍵認証を利用)が登録されたデバイスを予め共有しておく方式で、そのデバイスがないと送金などは出来ない仕組みである。パスワードが盗まれてもデバイスが無い場合は講座が不正に利用されることはない。

(2)

2要素認証方式とは

japan.norton.com

  • 本人が知っていること
  • 本人だけが所有しているもの
  • 本人の特性(生体認証など)

などがログインに利用できますが、これらの2つを組み合わせるのが2要素認証です。

「ユーザーID&パスワード」「秘密の質問」の組み合わせなんかは、両方とも「本人が知っていること」なので2要素認証になりません。「パスワード」と「指紋」なんかだと2要素認証になります。「2段階認証」という言葉だと前者も含みます。

(3)

PCのプログラムとして配布した場合、PCがマルウェアに感染している以上、HMAC計算ツールの入力や出力が改善されたりするリスクがある。別デバイスにしておけばPCがマルウェアに感染したとしても、HMAC計算ツールがウィルスの影響を受けることはない。

参考

sc.seeeko.com