情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ 問14: 攻撃者が,Web アプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,
←情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ
攻撃者が,Web アプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前で Web アプリケーションが追加的に行う対策として,最も適切なものはどれか。
問題本文
攻撃者が,Web アプリケーションのセッションを乗っ取り,そのセッションを利用してアクセスした場合でも,個人情報の漏えいなどに被害が拡大しないようにするために,重要な情報の表示などをする画面の直前で Web アプリケーションが追加的に行う対策として,最も適切なものはどれか。
選択肢
- ア.Web ブラウザとの間の通信を暗号化する。
- イ.発行済セッション ID を Cookie に格納する。
- ウ.発行済セッション ID を HTTP レスポンスボディ中のリンク先の URI のクエリ文字列に設定する。
- エ.パスワードによる利用者認証を行う。
解説
セッションを乗っ取られても被害拡大を防ぐには、重要情報を表示する直前で改めて本人確認を行う多層的な防御が有効。攻撃者がセッションを奪っていても、パスワード(本人しか知らない情報)による再認証を要求すれば、その先の重要画面には進めない。よってエが正しい。実務では決済や個人情報閲覧などの重要操作前に再認証や追加認証を挟む設計が定石である。
選択肢ごとの解説
- ア.通信暗号化は盗聴対策で、既にセッションを奪った攻撃者の操作は防げず追加対策にならず誤り。
- イ.セッションIDをCookieに格納するのは通常の発行方法で、乗っ取り後の被害拡大は防げず誤り。
- ウ.セッションIDをURLのクエリに付けるのは漏えいを招く悪手で、対策どころか危険で誤り。
- エ.重要画面の直前でパスワード認証を行い乗っ取り後の操作を阻む追加対策として最も適切で正解。
情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ の過去問一覧へ戻る・問14