H29 SC 復習 - 情報系のべんきょう

H29 春午前2

問5 セッションIDの固定化攻撃(Session Fixation)

セッションIDの固定化攻撃とは，ターゲットユーザに対して攻撃者が

生成したセッションIDを含む不正なURLを送りつけることで意図的に

セッションを確立させ，そのセッションをハイジャックするというものである．

セッションIDの固定化攻撃は次のように実行される．

①攻撃者がターゲットとなるWebサイトのログイン画面などにアクセスし，

実際に発行されたセッションID(例:98765)を入手する

②入手したセッションIDを含むURL(例:;sessionid=98765)をリンク先として

セットしたフィッシングメールをターゲットユーザに送付する．

(もしくは他の手段でそのURLをクリックさせる)

③ターゲットユーザがそのリンクをクリックし(そのセッションIDを使って)，

ターゲットサイトにログインする

④攻撃者も同じセッションIDを使ってターゲットサイトへのアクセスに成功し，

正規のユーザになりすまして不正な操作などを行う

問6 DNS水責め攻撃

DNS水責め攻撃とは，問合せ元のアドレスや問合せ対象ドメインの

制限なく名前解決要求に応じ状態(オープンリゾルバ)となっている

DNSキャッシュサーバに対し，攻撃対象のドメインのランダムなサブドメイン名を

大量に発生させ，不正な名前解決要求を行う手法である．

これにより，攻撃対象ドメインの権威DNSサーバ(コンテンツサーバ)を過負荷にさせる．

問7 FIPS140-2(Federal Information Processing Standardization 140-2)

FIPS140-2(連邦情報処理規格140-2)は，米国連邦政府の省庁等各機関が

利用する暗号モジュールに関するセキュリティ要件を規定した文書である．

問8

NIST(National Institute of Standards and Technology:米国国立標準技術研究所)では，

クラウドコンピューティングのサービスモデルについて概ね次のように定義している．

SaaS(Software as a Service)

利用者に提供される機能はクラウドのインフラ上で稼動しているアプリケーションであり，

利用者がOSなどのインフラを管理したりコントロールしたり，

アプリケーションの設定をしたりすることはできない．

PaaS(Platform as a Service)

利用者に提供される機能はクラウドのインフラ上に利用者が開発

もしくは購入したアプリケーションを実装することである．

利用者はOSなどのインフラを管理したり，ミドルウェアの設定等を行ったり

することはないが，自分が実装したアプリケーションに対する

各種設定，セキュリティ対策等を行う．

IaaS(Infrastructure as a Service)，HaaS(Hardware as a Service)

利用者に提供される機能はCPU，ストレージ等のインフラである．

利用者はOSやミドルウェア，ストレージ容量等を選択してサーバ環境を構築し，

OSやミドルウェアに対する各種設定等を行う．

問11 MITB(Man In The Browser)攻撃

MITB攻撃は，ブラウザの動作に介入し，インターネットバンキングの送金内容を

勝手に書き換えて不正な送金を行う手法である．

MITBへの有効な対策として，トランザクション署名がある．

トランザクション署名とは，送金時にトークン(携帯認証装置)を用いて署名情報を生成し，

口座番号，金額とともに送信することで，取引の内容が通信の途中で

改ざんされていないことを検証する技術である．

問17

IEEE802.1Xとは，ネットワーク環境においてユーザ認証を行うための規格である．

IEEE802.1Xに準拠した認証システムは，クライアントであるサプリカント，

アクセスポイントやLANスイッチなど，認証の窓口となる機器である

オーセンティケータ，認証サーバ(RADIUSサーバなど)から構成される．

認証サーバにRADIUSを用いる場合には，

オーセンティケータがRADIUSクライアントとなる．

問19 MDI（Multiple Document Interface）

イーサネットインタフェースには，送信端子，受信端子の割り当ての違いにより，

MDIとMDI-Xの2種類があり，MDIとMDI-Xを接続する場合にはストレートケーブル，

MDI同士，あるいはMDI-X同士を接続する場合にはクロスケーブルを使用する場合がある．

AutomaticMDI/MDI-Xは，ストレートケーブル，クロスケーブルのどちらを使用しても，

コネクタの送信端子と受信端子が正しい組合せになるように自動的に切り替える機能である．

問20 CSMA/CA(CarrierSenseMultipleAccess/CollisionAvoidance)

IEEE802.11a，IEEE802.11bはいずれも無線LANの規格である．

有線LANとは異なり，無線LAN環境では通信の衝突を検出できないため，

各ホストは自分が通信する際に，まず他のホストが通信していないことを

確認(Carrier Sense)した後，ランダムな長さの待ち時間をとってから

送信を開始することで，通信の衝突を回避(Collision Avoidance)する仕組みとなっている．

問21

SQLのGRANT文は，ユーザに対し，テーブル，ビューなどのオブジェクトに

関する特定の権限を付与する．

既に何らかの権限を有していた場合には，それに追加される．

GRANT文の基本的な構文は次の通り．

GRANT 権限名 ON オブジェクト名 TO ユーザ名;

・権限名に"ALL"もしくは"ALLPRIVILEGES"と記述すると，

SELECT権限，UPDATE権限，INSERT権限，DELETE権限などの

すべての権限をユーザに付与することになる．

・ユーザ名に"PUBLIC"を指定すると，すべてのユーザに権限を付与することになる．

・"WITH GRANT OPTION"を指定すると，権限を他のユーザに

付与する権限をユーザに対して与えることができる．

問22

JIS X 25010:2013(システム及びソフトウェア品質モデル)では，

製品品質を8つの特性(機能適合性，信頼性，性能効率性，使用性，

セキュリティ，互換性，保守性及び移植性)に分類しており，

各特性は，関係する副特性の集合から構成される．

【選択肢】

ア：適切な記述である．

イ：性能効率性に関する記述である．

ウ：使用性に関する記述である．

エ：信頼性に関する記述である．

問23 DTCP-IP(Digital Transmission Content Protection over Internet Protocol)

DTCP-IPは，著作権保護されたコンテンツを伝送するためのプロトコルである．

DLNA(Digital Living Network Alliance)とともに使用され，接続する機器間で相互認証し，

コンテンツ保護が行える場合に録画再生を可能にする．

問25

自社が提供するWebサービスの信頼性に責任を負うのは，当該企業の経営者である．

保証業務の実施者は外部監査人であり，

その報告書の想定利用者はWebサービス利用者である．

表のA〜Dのうち，この組合せとなっているのはCである

H29 秋午前2

問6 Kaminsky's Attack（カミンスキー攻撃）

Kaminsky's Attackとは，セキュリティ研究者のDan Kaminsky氏によって考案・公表された

DNSキャッシュポイズニング攻撃の一種である．

攻撃者は，汚染情報を登録したいドメイン名と同じドメインかつ存在しないFQDNの

名前解決要求を行うことで，従来よりも効率良く攻撃を成立させる手法である．

攻撃を成功させるためには，攻撃者は，送信ポート番号(名前解決要求の

送信元ポート番号であり，応答時のあて先ポート番号となる)，

トランザクションIDを本来の応答レコードと合致させる必要がある．

しかし，送信ポート番号，あて先ポート番号ともに53番に固定する設定となっている

DNSサーバは数多く存在し，攻撃を容易にさせている．

また，トランザクションIDが16ビット(最大65,536通り)であることも攻撃を容易にさせている．

そのため，DNSの送信元ポート番号をランダム化(ソースポートランダマイゼーション)する

ことで，カミンスキー攻撃をはじめとしたDNSキャッシュポイズニング攻撃が

成功する確率を大きく低減することができる．

問11

JISQ27000:2014「情報セキュリティマネジメントシステム-用語」では，

是正処置(corrective action)を

「不適合の原因を除去し，再発を防止するための処置」

と定義している．

問14 CSRF（Cross-Site Request Forgeries）

問題文の攻撃手法は，Webアプリケーションのユーザ認証やセッション管理の不備を突いて，

サイトの利用者にWebアプリケーションに対する不正な処理要求を行わせる手法であり，

CSRF（クロスサイトリクエストフォージェリ）と呼ばれる．

CSRFによる被害を防ぐためには，Webアプリケーションのユーザ認証機能や

セッション管理機能を強化し，不正なリクエストを受け付けないようにする必要がある．

具体的には，次のようなものがある．

・POSTメソッドを使用し，hiddenフィールドに秘密情報をセットする

・確定処理の直前で再度パスワードを入力させる

・Referrerを用いてリンク元の正当性を確認する

・重要な操作を行った後で，その内容を登録アドレスにメール送信する

問16 ディジタルフォレンジックス

ディジタルフォレンジックスで証拠を収集する際には，

揮発性の高いものから順に進める必要がある．

RFC3227「証拠収集とアーカイビングのためのガイドライン」によれば，

揮発性の順序について，次のように例示されている．(上のものほど揮発性が高い)

1レジスタ，キャッシュ

2ルーティングテーブル，arpキャッシュ，プロセステーブル，カーネル統計，メモリ

3テンポラリファイルシステム

4ディスク

5当該システムと関連する遠隔ロギングと監視データ

6物理的設定，ネットワークトポロジ

7アーカイブ用メディア

問21

【選択肢】

ア：誤差逆伝播法の調整作業は出力層から入力層に向かって行われる．

イ：サポートベクタマシンは機械学習におけるパターン認識手法の

一つであり，大量計算には向かない．

エ：過学習とは，機械学習等において，過度の学習を行った場合，

未知のデータに対して正しく答えを出力できなくなる現象である．

問22

JISX25010:2013では，システム利用時の品質特性について，

有効性，効率性，満足性，リスク回避性，利用状況網羅性の5つに分類しており，

各特性は，関係する副特性の集合から構成される．

満足性とは，「製品又はシステムが明示された利用状況において使用されるとき，

利用者ニーズが満足される度合い」であり，その副特性を次のように定義している．

●実用性

利用の結果及び利用の影響を含め，利用者が把握した目標の達成状況によって

得られる利用者の満足の度合い．

●信用性

利用者又は他の利害関係者がもつ，製品又はシステムが意図したとおりに

動作するという確信の度合い．

●快感性

個人的なニーズを満たすことから利用者が感じる喜びの度合い．

●快適性

利用者が(システム又はソフトウェアを利用する時の)快適さに満足する度合い

問23

著作権の帰属に関する特段の取決めがない場合，

開発したソフトウェアの著作権は原則として請負人に帰属する．

問25

システム監査基準において，

「システム監査人は，システム監査を客観的に実施するために，

監査対象から独立していなければならない．

監査の目的によっては，被監査主体と身分上，

密接な利害関係を有することがあってはならない．」

とされている．

内部監査において，過去に在籍していた部門に対する監査にメンバを従事させる場合，

一定の期間を置くのは適切な措置である．

参考

情報処理教科書情報処理安全確保支援士 2023年版

H29 春 午前2