予想問題vol.6 問39

問39

Webアプリケーションのセッションが攻撃者に乗っ取られ,攻撃者が乗っ取ったセッションを利用してアクセスした場合でも,個人情報の漏えいなどの被害が拡大しないようにするために,Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として,最も適切なものはどれか。
  • Webブラウザとの間の通信を暗号化する。
  • 発行済セッションIDをCookieに格納する。
  • 発行済セッションIDをURLに設定する。
  • パスワードによる利用者認証を行う。
  • [出典]
  • 応用情報技術者 H28春期 問41

分類

テクノロジ系 » セキュリティ » セキュリティ実装技術

正解

解説

攻撃者によってログイン中のセッションが乗っ取られても、URLやCookieに格納されているセッションIDが正規のものであれば、判別する仕組みを持たないWebアプリケーションには、「攻撃者によって乗っ取られたリクエスト」なのか「正規ユーザによるリクエスト」なのかの区別がつきません。このようなWebアプリケーションのセッション管理の脆弱性を悪用して、攻撃者が正規ユーザの意に反した処理を行わせる攻撃を、CSRF(クロスサイト・リクエスト・フォージェリ)といいます。
特に「ログイン後に決済処理等の重要な処理を行うサイト」などでは、攻撃による被害が大きくなるため、セッション管理の堅牢性を高める必要があります。それに加えてセッションが乗っ取られた場合の不正処理を防ぐために、送金や購入確定、パスワード変更、退会処理などの重要なリクエストをサーバに送信する前には、その利用者が意図したリクエストであるかどうかを識別する仕組みを設ける必要があります。

重要処理の前にパスワード認証を挟むことで、セッションの相手が正規ユーザであることを確認できるため正しい処理のみを実行することができます。したがって適切な対策は「エ」です。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop