応用情報技術者試験 応用情報技術者試験 平成28年度春期 午前 問41: Web アプリケーションのセッションが攻撃者に乗っ取られ，攻撃者が乗っ取ったセッションを利用してアクセスした場合でも，個人情報の漏えいなどの被害が拡大しないよう

問題本文

Web アプリケーションのセッションが攻撃者に乗っ取られ，攻撃者が乗っ取ったセッションを利用してアクセスした場合でも，個人情報の漏えいなどの被害が拡大しないようにするために，Web アプリケーションが重要な情報を Web ブラウザに送信する直前に行う対策として，最も適切なものはどれか。

選択肢

• ア.Web ブラウザとの間の通信を暗号化する。
• イ.発行済セッション ID を Cookie に格納する。
• ウ.発行済セッション ID を URL に設定する。
• エ.パスワードによる利用者認証を行う。

正解

エ. パスワードによる利用者認証を行う。

解説

セッションが既に乗っ取られている前提で、重要情報を送り出す直前にもう一段の防御を入れる方法を問う問題。セッションIDだけで本人とみなしてしまうと乗っ取った攻撃者にも情報が渡るが、重要情報の送信直前に“本人だけが知っているパスワード”による利用者認証(再認証)を要求すれば、セッションを盗んだだけの攻撃者は認証を通過できず、個人情報の漏えいなどの被害拡大を防げる。よって正解はエ。

選択肢ごとの解説

• ア.通信の暗号化は経路上の盗聴を防ぐ対策であり、既にセッションを乗っ取った攻撃者からの被害拡大は防げない。
• イ.セッションIDをCookieに格納するのは一般的なセッション維持の方法にすぎず、乗っ取り後の被害拡大を抑える対策にはならない。
• ウ.セッションIDをURLに設定すると、リファラやアクセスログ経由でIDが漏れてむしろ乗っ取りのリスクが高まり、対策として不適切である。
• エ.重要情報の送信直前に本人だけが知るパスワードで再認証すれば、セッションを盗んだだけの攻撃者は通過できず被害拡大を防げるので正しい。