この記事では,令和6年度 秋期 情報処理安全確保支援士試験 午後問題 問4を解説します!
各解説につきましては,独自の見解です.正確性を保証するものではありませんので,ご了承ください.
情報処理安全確保支援士試験に向けて勉強されている方の参考になれば幸いです.
本記事における出典:令和6年度 秋期 情報処理安全確保支援士試験 午後 問4
IPA(問題冊子・解答例・採点講評)のリンク
本記事内の解答例については,全てIPA公式からの引用になります.
設問1 図4中の2章について
問題冊子34ページから始まる図4-2章では,Webアプリケーションプログラムの脆弱性診断結果がまとめられています.
(1) 表A,2.2.1(2)中の a に入れる適切な記号
セッションフィクセーションの脆弱性が検出された画面遷移の箇所を答える問題です.
解答
(イ)
解説
前提として,問題冊子34ページの図4 表Bの HTTPレスポンス中のsessionIDを見てみると,「Webブラウザに直接URLを入力して,画面01を表示したとき」,画面遷移(ア)(未ログイン状態)から,画面遷移(イ)・(エ)(ログイン後)に至るまで,同一のsessionIDがセットされていることが分かります.つまり,ログイン前後でsessionIDを更新していないということです.
ここで,問題となるのが画面01(ログイン画面)からログインに成功し,画面02(求人情報トップ)に遷移する ⇒ 画面遷移(イ)です.セッションフィクセーションの流れについて,改めて確認してみましょう.
1.攻撃者がログイン画面等にアクセスし,攻撃者自身用のsessionIDを入手.
2.上記の要領で入手したsessionIDを何らかの方法(ログインURLのクエリパラメータに埋め込む,罠サイトを用意する,XSSと組み合わせるなどして正規利用者にセットされたsessionIDを攻撃者自身用のsessionIDに上書きする等)で正規の利用者に送り込む.
3.正規の利用者が正規の利用者自身のアカウントでログイン
4.攻撃者は当該sessionIDを用いて,正規の利用者になりすます
参考:安全なウェブサイトの作り方 – 1.4 セッション管理の不備(IPA)
つまり,正規利用者によるログインが成功した瞬間,当該sessionIDが正規利用者のアカウントとしてアクティブになってしまいます.従って,問題の脆弱性が発生する画面遷移の解答としては(イ)が適切です.
(2) 図A中の b に入れる適切なURL
攻撃者は,どのURLにアクセスしてsessionIDを入手するか? という問題です.
解答例
https://test.△△△.jp
解説
解答根拠は,問題冊子34ページの「2.2 検出した脆弱性の説明」にあります.そこでは,「表Bのいずれの画面遷移(Webブラウザに直接URLを入力して,画面01を表示したとき,画面遷移(ア)・(イ)・(エ))においても,HTTPレスポンス中のsessionIDの値が同一であった.」と記述されています.
従って,攻撃者は未ログイン状態であってもアクセス可能な画面01(表1に画面01のURLは,https://test.△△△.jp/と記述)にアクセスすることで,sessionIDを入手し,セッションフィクセーションを悪用することが可能になってしまいます.
(3) 図A中の c に入れる適切な操作
正規利用者(メール受信者)が罠サイトへアクセスしたのを検知した後,攻撃者は正規利用者がどのようなアクションを起こすことを期待するか? という問題です.
解答例
メール受信者によるログイン
解説
前述の解説の通りです.正規利用者(⇒ メール受信者)によるログインが成功した瞬間,当該sessionIDが正規利用者のアカウントとしてアクティブになりますので,攻撃者はそれを待つということです.
(4) 2.2.1(2) 中の d に入れる適切な修正方法
これまで扱ってきたセッションフィクセーション脆弱性を是正する具体的な方法を解答する問題です.
解答例
使用済みのsessionIDを無効にした上で,新しいsessionIDを発行
解説
本脆弱性の根本的な原因は,ログイン前後で同一のsessionIDを使い回している点にありますので,脆弱性の修正方法としてはこれを是正し,ログイン前後で別のsessionIDを使えば良いということになります.これを丁寧に解答するなら,「使用済みのsessionIDを無効にした上で,新しいsessionIDを発行」という模範解答になります.
また,この対策手法については,IPAが公開している記事「安全なウェブサイトの作り方 – 1.4 セッション管理の不備 」内でも紹介されています.
(5) 表D中の e , f に入れる適切な効果
HTTPヘッダーに関する知識問題です.
空欄eには,Strict-Transport-Securityを設定した場合の主な効果,
空欄fには,X-Content-Type-Optionsを設定した場合の主な効果が入ります.
解答例
e)Mサイトへの接続をHTTPSに強制することができる。
f)Mサイトのコンテンツに対して,Content-Typeヘッダーで指定したMIMEタイプを強制的に適用することができる。
解説
それぞれの設定に関しては,以下の記事でまとめておりますのでぜひご覧ください.
特に,Strict-Transport-Security(HSTS)については,午前Ⅱ試験でも頻出の問題となっていますので,要チェックです.
設問2 図D中の g, h に入れる手順
続いては,メールヘッダーインジェクションに関する問題です.具体的な攻撃手順を穴埋め形式で解答します.
解答例
g)画面09で,会社名に図Cのabc@example.comを攻撃者のメールアドレスに変更した文字列を入力して変更ボタンをクリックする。
h)画面04から一連の操作において,画面05又は画面07で再設定後のパスワードを入力して,WebAPIキーを確認又は発行する。
解説
g)図Cで示されているメールヘッダーインジェクションの検査文字列は,任意のメールアドレス宛(ここでは,abc@example.com )にメール配信を行うことが出来るか否かチェックするものです.従って,実際の攻撃手順としてはabc@example.comを攻撃者のメールアドレスに差し替えた上で,「変更」ボタンをクリックするということになります.
h)図Dの手順2で求人企業プロパティのメールアドレスを攻撃者自身のメールアドレスに変更し,手順4でパスワード再設定(攻撃者がPW既知)を行っているので,手順6に入る趣旨としては,変更に成功したパスワードを使ってWebAPIキーを閲覧したり,再発行したりするということにあんります.
設問3 表F中の i, j および 表G中の k, l に記述する内容
「あなたがこの診断を担当したとして,」と実務系の問題になっており,解答の幅が広い問題です.
問題文中には「なお,複数の改善の方針案がある場合は,被害を防ぐ効果が最も高いものを答えよ.」とありますが,IPAの公式解答例ではそれぞれ3パターン紹介されています.
さらに,公式解答例の注釈には「①~③・④~⑥に限らず,WebAPI・Webアプリケーションプログラムに関する被害を軽減する仕様の改善方針案が記述されていること」とあります.
解答例
全てを紹介すると,キリが無いのでここではIPA公式解答のパターン①,パターン④をご紹介します.全解答例は,IPAの公式ページよりご確認いただけます.
i)求職者IDが推測困難なものになるように,求職者IDの生成方法を変更する。
j)APIkeyが窃取された場合,当該求人企業への問合せ又は応募をした求職者の情報漏えいだけに被害を軽減することができるから
k)ログイン認証を,多要素認証に変更する。
l)アカウントの乗っ取りを防ぐことができるから
解説
i)問題冊子31ページ 図2「WebAPIの仕様」中の求職者IDについて,図2下部に下記のような注釈が付いています.
注1)求職者がMサイトに利用者登録をした年月日の8桁の数字の後ろに,日ごとに000001から登録順に割り当てられる6桁の数字を加えた数字14桁の文字列である。
これは,情報処理安全確保支援士試験の午後問題で複数回出題されている連番系の問題になります.今回以外にも,令和7年度春期 情報処理安全確保支援士試験でも出題されています.
連番(IDの容易な推測)を匂わす記述を見つけたら,ビビッと(これは解答の要点になるかもしれないと)反応できるようにしておきたいですね.
