読者です 読者をやめる 読者になる 読者になる

【応用情報】情報セキュリティ解けなかった問題メモ

平成28年春期 問36

企業のDMZ上で1台のDNSサーバを,インターネット公開用と,社内のPC,サーバからの名前解決の問合せに対応する社内用とで共用している。このDNSサーバが,DNSキャッシュポイズニングの被害を受けた結果,引き起こされ得る現象はどれか。

  • DNSサーバのハードディスク上のファイルに定義されているDNSサーバ名が書き換わり,外部からのDNS参照者が,DNSサーバに接続できなくなる。
  • DNSサーバのメモリ上にワームが常駐し,DNS参照元に対して不正プログラムを送り込む。
  • 社内の利用者が,インターネット上の特定のWebサーバを参照しようとすると,本来とは異なるWebサーバに誘導される。
  • 社内の利用者間の電子メールについて,宛先メールアドレスが書き換えられ,送受信ができなくなる。

平成28年春期 問45

Man-in-the-Browser攻撃に該当するものはどれか。

  • DNSサーバのキャッシュを不正に書き換えて,インターネットバンキングに見せかけた偽サイトをWebブラウザに表示させる。
  • PCに侵入したマルウェアが,利用者のインターネットバンキングへのログインを検知して,Webブラウザから送信される振込先などのデータを改ざんする。
  • インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき,その偽サイトに接続させて,Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。
  • インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ,Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し,利用者になりすましてログインする。

平成27年春期 問39

パスワードリスト攻撃に該当するものはどれか。

  • 一般的な単語や人名からパスワードのリストを作成し,インターネットバンキングへのログインを試行する。
  • 想定され得るパスワードとそのハッシュ値との対のリストを用いて,入手したハッシュ値からパスワードを効率的に解析する。
  • どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて,他のWebサイトに対してログインを試行する。
  • ピクチャパスワードの入力を録画してリスト化しておき,それを利用することでタブレット端末へのログインを試行する。

平成26年秋期 問43

自社の中継用メールサーバで,接続元IPアドレス,電子メールの送信者のドメイン名及び電子メールの受信者のドメイン名のログを取得するとき,外部ネットワークからの第三者中継と判断できるログはどれか。ここで,AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし,BBB.45.67.89とBBB.45.67.90は社外のグローバルIPアドレスとする。a.b.cは自社のドメイン名とし,a.b.dとa.b.eは他社のドメイン名とする。また,IPアドレスドメイン名は詐称されていないものとする。
f:id:yusuke_ujitoko:20160913233106p:plain

平成26年春期 問37

A社のWebサーバは,認証局で生成したWebサーバ用のディジタル証明書を使ってSSL/TLS通信を行っている。A社のWebサーバにSSL/TLSを用いてアクセスしたときのPCが,サーバのディジタル証明書を入手した後に,認証局の公開鍵を利用して行うものはどれか。

  • 暗号化通信に利用する共通鍵を生成し,認証局の公開鍵で暗号化する。
  • 暗号化通信に利用する共通鍵を認証局の公開鍵を使って復号する。
  • ディジタル証明書の正当性を認証局の公開鍵を使って検証する。
  • 利用者が入力して送付する秘匿データを認証局の公開鍵を使って暗号化する。

平成26年春期 問39

認証局が侵入され,攻撃者によって不正なWebサイト用のディジタル証明書が複数発行されたおそれがある。どのディジタル証明書が不正に発行されたものか分からない場合,誤って不正に発行されたディジタル証明書を用いたWebサイトにアクセスしないために利用者側で実施すべき対策はどれか。

  • Webサイトのディジタル証明書の有効期限が過ぎている場合だけアクセスを中止する。
  • Webサイトへのアクセスログを確認し,ドメインWhoisデータベースに登録されていない場合だけアクセスする。
  • 当該認証局のCP(Certificate Policy)の内容を確認し,セキュリティを考慮している内容である場合だけアクセスする。
  • ブラウザで当該認証局を信頼していない状態に設定し,Webサイトのディジタル証明書に関するエラーが出た場合はアクセスを中止する。

平成25年秋期 問42

クロスサイトスクリプティングの手口はどれか。

  • Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
  • インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざん・破壊を行ったりする。
  • 大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。
  • パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

平成25年春期 問39

公開鍵暗号によって,n人が相互に通信する場合,全体で何個の異なる鍵が必要になるか。ここで,ひと組の公開鍵と秘密鍵は2個と数える。

  • n+1
  • 2n
  • n(n-1)/2
  • log2n

平成24年秋期 問36

シングルサインオンの説明のうち,適切なものはどれか。

  • クッキーを使ったシングルサインオンの場合,サーバごとの認証情報を含んだクッキーをクライアントで生成し,各サーバ上で保存,管理する。
  • クッキーを使ったシングルサインオンの場合,認証対象のサーバを,異なるインターネットドメインに配置する必要がある。
  • リバースプロキシを使ったシングルサインオンの場合,認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。
  • リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。

平成24年春期 問41

サイト運営者に不特定の利用者が電子メールで機密データを送信するに当たって,機密性を確保できる仕組みのうち,適切なものはどれか。

  • サイト運営者はサイト内のSSLで保護されたWebページに共通鍵を公開し,利用者は電子メールで送信するデータをその共通鍵で暗号化する。
  • サイト運営者はサイト内のSSLで保護されたWebページにサイト運営者の公開鍵を公開し,利用者は電子メールで送信するデータをその公開鍵で暗号化する。
  • サイト運営者はサイト内のSSLで保護されたWebページに利用者の公開鍵を公開し,利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。
  • サイト運営者はサイト内の認証局で利用者の公開鍵を公開し,利用者は電子メールで送信するデータをその公開鍵に対応する秘密鍵で暗号化する。

平成22年秋期 問38

セキュリティ対策で利用するCRLに記載されるデータはどれか。

  • スパムメールの発信元及びメールの不正中継を行うドメインの名前
  • ディジタル証明書の有効期間内に認証局の廃止などによって失効した自己署名証明書及び相互認証証明書
  • 有効期間内に失効したディジタル証明書のシリアル番号
  • 利用者に対して与えられた情報資源へのアクセス権限リスト

平成22年秋期 問40

公開鍵暗号方式に関する記述のうち,適切なものはどれか。

平成21年秋期 問39

公開鍵暗号方式を採用した電子商取引において,認証局(CA)の役割はどれか。

  • 取引当事者の公開鍵に対するディジタル証明書を発行する。
  • 取引当事者のディジタル署名を管理する。
  • 取引当事者のパスワードを管理する。
  • 取引当事者の秘密鍵に対するディジタル証明書を発行する。

平成19年春期 問74

VBScript(Visual Basic Script)で作られたコンピュータウイルスの特徴はどれか。

  • HTML形式の電子メール本文などに埋め込まれたスクリプトによって動作する。
  • 感染対象が実行形式ファイルであるか文書ファイルであるかにかかわらず,すべてのOSで動作する。
  • 実行ファイルはなくワープロの文書ファイルなどに感染し,関連するアプリケーションソフトを利用して動作する。
  • ブートセクタに感染して,通常のプロセス起動前にウイルスが呼び出されて動作する。

平成18年春期 問74

送信者がメッセージからブロック暗号(方式)を用いて生成したメッセージ認証符号(MAC: message authentication code)をメッセージとともに送り,受信者が受け取ったメッセージからMACを生成して,送られてきたMACと一致することを確認するメッセージ認証で使用される鍵の組合せはどれか。
f:id:yusuke_ujitoko:20160914210711p:plain