【過去問解説】情報処理安全確保支援士 令和５年度秋季【午後 問３】

2023年10月8日実施の情報処理安全確保支援士解答速報

毎年のことながら７～８割の正解率かと思います。間違いや不明点ございましたらコメントください。

更新履歴	更新日時	内容
初版	10月8日

問３ 継続的インテグレーションサービスのセキュリティ

設問１

解答

ウ、エ

解説

ア、イはプロセスですのでゲストOSなどの脆弱性を悪用しないと成功しません。

オも特権を不正に取得するなどの脆弱性を悪用しないと成功しません。

設問２

（１）

解答

偽サイトで取得した認証情報を利用し、TOTPの有効時間内に認証を行う

解説

クラウド管理サイトへのログインに必要な要素は２つです。

• ログイン時の認証情報
• アプリに表示されるTOTP

この2つが揃い、かつTOTPの有効時間内にログインする必要があります。

（２）

解答

ア

解説

知識問題ですね。「証明書の透明性」に関する内容のようです。

（３）

解答

イ

解説

DNSスプーフィング(DNS spoofing)

DNSサーバーのエントリをポイズニングし、標的となるユーザーを攻撃者のコントロール下にある悪意のあるウェブサイトにリダイレクトさせる攻撃です。

ドメインフロンティング(Domain fronting)

よく知られたサービスやドメインにデータを潜ませることでトラフィックを偽装しようとするテクニックです。主にCDN（Contents Delivery Network）で利用される技術です。

ドメイン名ハイジャック(Domain Hijacking)

ドメインの情報を書き換えてサイトを乗っ取る攻撃です。

ランダムサブドメイン攻撃(Random Subdomain Attack)

DNSサーバーを悪用したDDoS攻撃の1つ。権威DNSサーバーに対して、DNSプロトコルを悪用し大量の問い合わせを行うことにより負荷をかけリソースを枯渇させます。

（４）

解答

フロントエンドからCIデーモンに送信された情報を取得する

解説

シークレットをどこから取得しどこに送信しているのか、というデータの流れを確認します。

ユーザデータベースから取得したシークレットがバックエンドのCIデーモンに送信されています。

プロセスYはここでシークレットを取得したものと推測できます。

（５）

解答

生体情報などパスワード以外の方法で認証を行うため

解説

WebAuthn

公開鍵暗号によるデジタル署名を応用し、Web上でパスワード不要の認証を実現する技術

• Webサービスは、ユーザーに公開鍵暗号の鍵ペアを作成して登録するように要求します。鍵ペアは、ユーザーの端末や認証器に保存されます。
• ユーザーがログインするときは、Webサービスはユーザーに署名を求めます。署名は、ユーザーの端末や認証器が公開鍵暗号を使って作成します。
• Webサービスは、署名を検証して認証を行います。

（６）

解答

ア

解説

意図しない認証局から証明書が発行されることを防ぐ目的で作成されたレコードです。

設問３

（１）

解答

JストアにPアプリに偽装した悪意のあるアプリを公開される

解説

Kさんが行った内容は下記の２つ。

• STORE_API_KEY の再発行 (こちらは(2)の解答)
• API_SIGN_KEY の失効申請

[N社の顧客での対応] を確認すると、この２つはJストアにアプリをアップロードする際に利用することがわかります。

ここから解答の内容を導くことができます。

（２）

解答

認証用APIキーの削除と取得

解説

認証用APIキーが流出している可能性があるのであれば、無効化するなどの対応が必要になります。

J社として取れる手段を確認すると、下記の記載があることがわかります。

（３）

解答

署名鍵の不正な持ち出しが困難

解説

（４）

解答

影響	アプリの起動に失敗する
対応	JストアにてPアプリを最新版に更新する

解説

スマートフォンOSがアプリ起動時のコード署名の有効性検証に失敗するため