情報セキュリティマネジメント試験のR元年秋午後問題について書いていきます。
問1:インターネットを利用した振込業務の情報セキュリティリスク
設問1-1:攻撃1の原因
攻撃1(海外のアドレスから980件の顧客用アカウントにログイン試行があった)
についてその原因を選ぶ問題。
ア.Jサイトの顧客の個人情報が保存されているデータベースの管理用アカウントの認証情報を利用して不正アクセスする
→X Jサイトのデータベースへの不正アクセスは確認されていません。
イ.Jサイトの顧客の個人情報が保存されているデータベースの脆弱性を利用して不正アクセスする
→X Jサイトのデータベースへの不正アクセスは確認されていません。
ウ.Jサイトのパスワード入力時のパスワード判定ロジックの脆弱性を利用する
→X パスワード判定ロジックの脆弱性は関係ありません。(個人的には最後まで迷ってしまった)
エ.認証情報のリストに不正にアクセスし,改ざんする
→X 改ざんは行われていません。
オ.認証情報のリストを入手して利用する
→◯攻撃1は説明からリスト型攻撃と推測できます。ここでいう「認証情報のリスト」とはIDとパスワードが一体になった表(リスト)です。別のサイトから漏洩した、もしくはダークウェブでやり取りされた情報を入手したと考えられます。
設問3-1:攻撃3の原因
攻撃3複数の国内IPから1つのアカウントに対して複数回のログインが行われた攻撃について、
今回は成功しませんでしたが、
どのような場合に成功してしまうかを問う問題。
・平均1,000件のアクセスがあった
・失敗している
とあるので、ブルートフォース攻撃だと推測されます。
ブルートフォースアタック(総当たり攻撃)とは?そのやり方・実際にかかる時間・対策方法は?|サイバーセキュリティ.com
ア.2要素認証が実装されている
→X 2要素認証が実装されていればブルートフォース攻撃の対策になります。
イ.ECサイトで要求しているパスワードの強度が低い
→◯ブルートフォース攻撃の原因です。
ウ.ECサイトで利用していないポートが開いている
→X 危険ですが、ブルートフォース攻撃とは関係ありません。
エ.FWのルールの末尾に全て拒否のルールが設定されている
→X ログインには関係ありません。
オ.OSの脆弱性修正プログラムが適用されていない
→X ログインには関係ありません。
カ.問合せフォーム処理時のアクセスが攻撃かどうかの判別に不備がある
→X 問い合わせフォームは関係ありません。
キ.ファイルへのアクセス制御に不備がある
→X ログインには関係ありません。
ク.複数のサイトで認証情報を使い回している顧客がいる
→X 迷いますが、これはリスト攻撃の場合の原因です。
設問3-3:攻撃3の原因
ログイン失敗回数の上限を超えたアカウントをロックする仕組みを取り入れた時に、
問い合わせが増えることが考えられますが、
問い合わせが増えないような対策を選ぶ問題です。
ア.カウントロックされた顧客からの問合せへの対応マニュアルを作成する。
→X 問い合わせの後の流れはスムーズになりますが、問い合わせの抑制にはなりません。
イ.顧客の連続ログイン失敗回数をログインログから算出し,その値に基づいて,連続ログイン失敗回数の上限を全顧客で一つ決定する。
→◯どのくらいログインに失敗する可能性があるかを分析することで、適切な値を設定できます。
ウ.今回の不正ログイン試行の回数をログインログから抽出して,連続ログイン失敗回数の上限を決定する。
→X今回のログイン試行回数を元にすると上限が極端な数値になってしまいます。
エ.生体認証導入前に,Webページにカスタマサポート部の問合せ先を掲載しておく。
→X生体認証導入、という結論にはなっていません。
オ.パスワードを連続5回間違えたらアカウントロックする。
→X5回という値が適切かが判断できません。
カ.ボットからのアクセスを検知したらアカウントロックする。
→X「ログイン失敗回数の上限を超えたアカウントをロックする」という文脈ではつながりません。
問2:アカウント乗っ取りによる情報セキュリティインシデント
設問2-1:フィッシング攻撃のログの確認
フィッシングサイトのURLをクリックしていないかを
どうやって調べたら良いか問う問題。
ア.URLフィルタリング機能
→X URLフィルタリング機能は、表1にアクセスを遮断した場合だけ7日間記録を保持するとあるので該当しない
イ.VPNサーバ
→X NPCはプロキシサーバまたはVPNサーバ経由でアクセスする可能性があるのでどちらかだけでは不足
ウ.VPNサーバ及びURLフィルタリング機能
→XURLフィルタリング機能は、表1にアクセスを遮断した場合だけ7日間記録を保持するとあるので該当しない
エ.VPNサーバ及び,プロキシサーバ
→◯
オ.プロキシサーバ
→X NPCはプロキシサーバまたはVPNサーバ経由でアクセスする可能性があるのでどちらかだけでは不足
カ.プロキシサーバ,VPNサーバ及びURLフィルタリング機能
→XURLフィルタリング機能は、表1にアクセスを遮断した場合だけ7日間記録を保持するとあるので該当しない
キ.プロキシサーバ及びURLフィルタリング機能
→XURLフィルタリング機能は、表1にアクセスを遮断した場合だけ7日間記録を保持するとあるので該当しない
設問2-2:フィッシング攻撃の被害の確認
2-1のログに加えて、最低限ヒアリングスべき相手を選ぶ問題。
ア.営業担当者
イ.所長,副所長,営業担当者及び事務担当者
ウ.所長,副所長及び営業担当者
エ.所長及び副所長
オ.流通担当者及び事務担当者
Vアプリには、NPC、DPC、スマホを使ってアクセスできますが、
スマホを貸与されるのは、
・本社の課長以上の管理職
・営業所の所長、副所長及び営業担当者
です。
最低限とあるので、答えはア.営業担当者
になります。
設問2-5:第三者のパスワードの特定方法
第三者がファイルのパスワードを特定した方法を推測する問題です。
ア.Dさんのスマホを物理的に入手しフォレンジックすることによって特定する。
→XDさんのスマホはDさんが持っているのでフォレンジックは不可能です。
イ.GCメッセージから特定する。
→◯図3のルール項目5に「ファイルを保護するためのパスワードは、Vサービスのパスワードとは別の文字列を利用し、ファイルを送信したGC内で別のGCメッセージとして送信すること とあります。今回の犯人はGC内の別のメッセージも読むことができると考えられるため、これが正解です。
ウ.辞書攻撃を行うことによって特定する。
→X短時間でのパスワードの特定は難しいです。
エ.他のサービスから流出したパスワードのリストから特定する。
→X他のサービスのパスワードは使用しないルールとなっています。
問3:業務委託先への情報セキュリティ要求事項
設問2:YシステムとNサービス利用時のリスク
クラウドのNサービスではなく、Yシステムを使うことにより発生するリスクを選ぶ問題。
ア.X業務に従事しないY-CS部の従業員によるX情報の不正な持出しリスクを低減
→X Nサービスを利用したとしても、Y社の現状ではリスクが残ります。
イ.X業務に従事するY-CS部の従業員によるX情報の不正な持出しリスクをN社に移転
→X Nサービスを利用しても、クラウドベンダーのN社にリスクを移転はできません。
ウ.X業務に従事するY-CS部の従業員によるX情報の不正な持出しリスクを回避
→X Nサービスを利用しても、リスクの回避はできません。
エ.システム管理部の従業員によるX情報の不正な持出しリスクを回避
→◯表1の注釈に、Yシステムの改修の際にシステム管理部の従業員がデータベースにアクセスする可能性がある。と小さく書いてあります。Nサービスを使用すればこのリスクは回避できます。
設問3-1:3階以外からNサービスにアクセスできる人の特定
仮にY社に業務を委託した場合に、3階の業務エリア以外からNサービスにアクセスできる人を選ぶ問題。
まず選択肢はこの5つ。
ア.F課長
イ.T部長
ウ.X業務に従事するY-CS部の2名の一般従業員
エ.X業務に従事するY-CS部の2名の主任
オ.X業務に従事するY-CS部のパートタイマ
Y社では、「管理職にはデスクトップPC及びノートPCが,その他の従業員にはデスクトップPCが貸与されている」とあります。
表2のデスクトップPCの説明を読むと「机に固定されている」とあるので、
3階以外からアクセスできるのは、
社内外からアクセスが可能なノートPCを持った人になります。
よって答えは、
エ.X業務に従事するY-CS部の2名の主任
です。
設問3-4:追加の外部記録媒体への対策
追加の外部記録媒体へ制限を行なった場合にどのようなリスクが低減されるかを選ぶ問題。
(i)Y-PC内のデータを外部記憶媒体に保存して持ち出される。
→X 表2にあるように、すでにY-PCでは外部記録媒体の読込みのみが可能なのでこのリスクは該当しません。
(ii)Y-PC内のデータを複合機でプリントして持ち出される。
→X プリンタは関係ありません。
(iii)Y社で許可していないアプリケーションソフトウェアが保存されているUSBメモリをY-PCに接続されて,Y-PCに当該ソフトウェアが導入される。
→X 表2にあるようにアプリケーションソフトはY社が許可したものしか導入できません。
(vi)マルウエア付きのファイルが保存されているUSBメモリをY-PCに接続されて,Y-PCがマルウェア感染する。
→◯追加の対策を行えばこのリスクを低減することができます。
図解
問1
※本記事に記載している過去問はIPAの配布サイトより引用しています。一部表現を変えている場合があります。