令和元年秋期試験午後問題 問1

問1 情報セキュリティ

ECサイトの情報セキュリティの改善に関する次の記述を読んで,設問1~5に答えよ。

 J社は,従業員数90名の生活雑貨販売会社であり,店舗とECサイト(以下,J社のECサイトをJサイトという)で生活雑貨を販売している。Jサイトでの販売は5年前に開始され,現在はJ社の売上の7割を占めている。Jサイトに登録されたアカウント数は現在100万を超えている。Jサイトの顧客は幅広い年齢層にわたることから,ECサイトに不慣れな顧客でも容易に利用できるように,顧客からの問合せへの対応に力を入れており,問合せをJサイトの問合せフォーム及び電話で受け付けている。Jサイトに投稿された問合せは,カスタマサポート部に電子メール(以下,電子メールをメールという)で送信される。問合せには,通常,1日以内に対応している。
 J社には,総務部,商品企画部,店舗営業部,EC営業部,情報システム部,カスタマサポート部の六つの部があり,EC営業部はJサイトの利用者の管理及び商品登録(以下,サイト運営という)並びにJサイトの情報セキュリティ対策を担当している。
 J社では,3年前に最高情報セキュリティ責任者(CISO)を委員長とする情報セキュリティ委員会を設置し,情報セキュリティポリシー及び情報セキュリティ関連規程を整備した。J社のCISOは副社長である。情報セキュリティ委員会の事務局は,情報システム部が担当している。また,各部の部長は,情報セキュリティ委員会の委員,及び自部における情報セキュリティ責任者を務め,自部の情報セキュリティを確保し,維持,改善する役割を担っている。各情報セキュリティ責任者は,自部の情報セキュリティに関わる実務を担当する情報セキュリティリーダーを選任している。EC営業部のCさんは,同部の情報セキュリティリーダーに任命されている。

〔Jサイトの情報セキュリティ対策〕
 Jサイトはインターネットからの通信を監視・制御するためにファイアウォール(以下,FWという),IPS及びWAFを導入している。Jサイトには,次の2種類のアカウントがある。
  • 管理者がハードウェア,OS,ミドルウェア及びアプリケーションソフトウェアの運用管理,並びにサイト運営を行う際に用いる管理用アカウント
  • 顧客がJサイトで商品を購入する際に用いる顧客用アカウント

 管理用アカウントでのログインには2要素認証を実装しており,パスワード及び携帯用トークンを使った時刻同期式ワンタイムパスワードを採用している。一方,顧客用アカウントとその認証の仕様は顧客の利便性を考慮し,次のようになっている。
  • 利用者IDとパスワードの組み(以下,利用者IDとパスワードの組みを認証情報という)を採用
  • パスワードは8文字以上で英数字混在が必要
  • 顧客が登録している情報を確認又は変更する際には認証情報の再入力が必要
  • 新規にアカウントを登録する際に,既に使われている利用者IDを指定すると,使用されている旨を画面に表示
  • 顧客用アカウントをもっていない者でも問合せを投稿できるようにするために,問合せを投稿する際には利用者認証が不要

〔Jサイトの顧客情報〕
 J社の情報セキュリティリスクアセスメントの結果では,Jサイトの顧客の個人情報が,情報セキュリティ上,J社で最も重要な情報となっている。この個人情報には,顧客の氏名,配送先住所,連絡先電話番号,認証情報,メールアドレスが含まれており,それらは,Jサイト内のデータベースに保存されている。
 なお,クレジットカード番号及びクレジットカード会員名は,外部の決済サービスを用いて非保持化を実現しており,Jサイトでは取り扱っていない。

〔情報セキュリティインシデントの発生〕
 2018年11月7日,カスタマサポート部からCさんに連絡があった。偽ブランド品の販売サイトと思われるサイトに誘導するメッセージ(以下,誘導メッセージという)が書かれた問合せが数万件投稿されたので,通常の問合せへの対応が遅延しているとのことだった。Cさんが情報システム部にJサイトの調査を依頼したところ,誘導メッセージ以外にも,不正アクセスと思われるログイン試行があり,既に調査を開始しているとのことだった。この一連の情報セキュリティ事象を受けて臨時の情報セキュリティ委員会が開催され,情報セキュリティインシデント(以下,インシデントという)が宣言された。不正ログインが成功した顧客用アカウントについて更に詳細に調査したところ,購入していないものが届いたとか,購入していないのに請求が来たといった被害はなかった。顧客への影響は顧客用アカウントの認証情報を攻撃者に知られてしまったことだけであることが確認できたので,顧客への連絡とパスワードのリセットを実施した。不正ログインへの対応が完了した後に開催された情報セキュリティ委員会で,今回のインシデントについて,情報システム部のU部長及びカスタマサポート部のM部長から調査結果が表1のとおり報告された。
pm01_1.gif
 情報セキュリティ委員会は,EC営業部のE部長に対し,表1の攻撃について,対策を検討するよう指示した。E部長はCさんと協力し,対策を検討した。

〔攻撃1への対応〕
 次は,攻撃1についてのE部長とCさんの会話である。

E部長:
攻撃1には,Jサイトから漏えいした顧客用アカウントの認証情報が利用されているとは考えられませんか。
Cさん:
考えられません。もし,漏えいした顧客用アカウントの認証情報が利用されているとしたら,ログインが全て成功しているはずです。しかし,ログインの9割は失敗しています。
E部長:
攻撃1では,どのような方法が使われたと考えられますか。
Cさん:
攻撃1では,最近よく聞く,aという方法が使われたと考えています。その方法を使った攻撃は,一般的にb場合に成功しやすいといわれています。
E部長:
攻撃1を防ぐにはどのような対策が考えられますか。
Cさん:
攻撃1の対策には複数ありますが,利用者本人かどうかを確認するために,認証情報による利用者認証に加え,c1を導入する方法が一般的だと考えます。この方法は,攻撃1の被害を未然に防ぐことができるというメリットがあり,かつ,他の多数のECサイトでも利用されています。
E部長:
その対策には,c2という特有の課題があるのではないでしょうか。
Cさん:
可能性はありますが,多くの実績があるので問題はないでしょう。
 Cさんは,攻撃1が成功したのは,顧客側にも問題があるので,その問題も解決する必要があると考え,顧客に①自衛のための対策を促すことを考えた。

〔攻撃2への対応〕
 次は,攻撃2についてのE部長とCさんの会話である。

E部長:
攻撃2では何が行われたのでしょうか。
Cさん:
アカウント新規登録画面へのアクセスのログを確認した範囲では,Jサイトに対してdが行われたと考えています。同様の事例が最近,他サイトでもあったという情報がありました。
E部長:
攻撃2を防ぐにはどのような対策が考えられますか。
 Cさんは対策を説明した。

〔攻撃3への対応〕
 Cさんは,今回,攻撃3は防ぐことができたものの,e場合には成功しやすいと考え,連続ログイン失敗回数の上限を超えたアカウントをロックする(以下,アカウントロックという)という対策をE部長に提案した。E部長は,対策としてはよいが,顧客に影響があるのでM部長に意見を求めるようにと指示した。次はCさんとM部長の会話である。

Cさん:
アカウントロックは広く使われている技術です。
M部長:
Jサイトの顧客は幅広い年齢層にわたるので,f状況が多数発生し,顧客がカスタマサポート部に電話をして対応を依頼するでしょう。問合せが大幅に増えるのは困ります。
Cさん:
②問合せがなるべく増えないよう,適切に対応します
〔攻撃4への対応〕
 Cさんは,攻撃4は,問合せフォームに自動で大量の投稿を試みる攻撃であり,大量の投稿が成功してしまった原因はgことであると考え,対策について,U部長及びM部長に相談した。次はU部長,M部長及びCさんの会話である。

U部長:
問合せを投稿する際に,利用者認証をしてはどうでしょうか。
M部長:
問合せフォームは既存の顧客以外からも広く意見を集める重要な手段なので,誰でも投稿できるようにする必要があり,利用者認証をするのはよい方法とは言えません。
U部長:
それでは,利用者本人かどうかを確認する代わりに,h1のはどうでしょうか。
Cさん:
h1のは,利用者によってはh2という問題が起こる可能性があるので実装には十分注意する必要がありますね。
 攻撃1から攻撃4への対応について検討した対策(以下,検討済対策という)をE部長は情報セキュリティ委員会に諮り,実施について承認を得た。ただし,検討済対策を実施したとしても,攻撃1から攻撃4を防ぐことができないこともあり得るので,追加の対策として,今回と同様のインシデントが発生したらすばやく対応できるようにするための対策を検討するよう指示があった。

〔追加の対策の検討〕
 Cさんは,追加の対策として,表1の攻撃を検知するために監視することにし,監視すべき値を表2にまとめた。これらの値が単位時間当たり一定数以上となった場合,EC営業部の情報セキュリティ責任者と情報セキュリティリーダーにメールで通知する。
pm01_2.gif
 J社は,検討済対策及び追加の対策を全て完了させた。その後,Jサイトは表1と同様の攻撃を受けたが,検討済対策が有効に機能していたので,攻撃が成功することは少なかった。また,攻撃が成功した場合でも,追加の対策が有効に機能したので,被害を最小限に抑えることができた。Jサイトの情報セキュリティは大きく向上した。

設問1

〔攻撃1への対応〕について,(1)~(4)に答えよ。
(1) 本文中のaに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
a に関する解答群
  • Jサイトの顧客の個人情報が保存されているデータベースの管理用アカウントの認証情報を利用して不正アクセスする
  • Jサイトの顧客の個人情報が保存されているデータベースの脆弱性を利用して不正アクセスする
  • Jサイトのパスワード入力時のパスワード判定ロジックの脆弱性を利用する
  • 認証情報のリストに不正にアクセスし,改ざんする
  • 認証情報のリストを入手して利用する
解答選択欄
  • a:
  • a=

解説

この設問の解説はまだありません。
(2) 本文中のbに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
b に関する解答群
  • 攻撃対象のサイトにSQLインジェクションの脆弱性がある
  • 攻撃対象のサイトのWAFのシグネチャやIPSのシグネチャの定期的な更新がされていない
  • 攻撃対象のサイトの顧客が複数のオンラインサービスで認証情報を使い回している
  • 攻撃対象のサイトの顧客用アカウントの認証情報に単純で短いパスワードを設定できる
  • 攻撃対象のサイトの問合せフォームの処理に脆弱性がある
  • 攻撃対象のサイトのログイン処理に送信元IPアドレスによるアクセス制限機能がない
解答選択欄
  • b:
  • b=

解説

この設問の解説はまだありません。
(3) 本文中のc1c2に入れる技術と課題を,次の(ⅰ)~(ⅹ)の中から一つずつ挙げた組合せはどれか。cに関する解答群のうち,最も適切なものを選べ。

[技術]
  1. Jサイトの顧客用アカウントの認証情報の複製を保存して利用するディレクトリシステム
  2. 指紋,虹彩,静脈などを利用した生体認証
  3. デジタル証明書を利用したクライアント認証
  4. ボットからの入力と人からの入力を判別するCAPTCHA
  5. ログインごとにメールで通知される認証用キーによる利用者認証
[課題]
  1. 顧客が意図せず利用者IDを複数回間違った場合にJサイトにログインできなくなる
  2. 顧客がメールアドレスを変更した際にJサイトにログインできなくなる
  3. 顧客の端末が変わった際に端末の設定に関する問合せがカスタマサポート部に入る
  4. ボットの使い方についてカスタマサポート部に問合せが入る
  5. 連続ログイン失敗回数が上限を超えてアカウントがロックされ,Jサイトにログインできなくなる
c に関する解答群
pm01_3.gif
解答選択欄
  • c:
  • c=

解説

この設問の解説はまだありません。
(4) 本文中の下線①について,どのような対策が考えられるか。解答群のうち,最も適切なものを選べ。
解答群
  • 各サイトで異なるパスワードを利用する。
  • 公衆無線LANからはJサイトを利用しない。
  • 顧客のPCのOSに脆弱性修正プログラムを適用し,OSにログインするためのパスワードを定期的に更新する。
  • 顧客の自宅や職場の無線LANアクセスポイントのパスワードを推測されにくいものにする。
  • 顧客の端末にマルウェア対策ソフトを導入し,マルウェア定義ファイルの自動更新を有効にする。
  • 顧客の端末の内蔵ストレージを暗号化する。
  • 送信するメールの添付ファイルにパスワードを付ける。
  • 定期的に教育を受け,標的型メール攻撃に注意する。
解答選択欄
  •  
  •  

解説

この設問の解説はまだありません。

設問2

本文中のdに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
d に関する解答群
  • 顧客用アカウントのパスワードのリストの作成
  • 実際の利用者が使っているパスワードの複雑性の確認
  • 従業員の認証情報のリストの登録
  • 特定の利用者IDが存在するかどうかの確認
  • 入力フォームに特定の脆弱性があるかどうかの確認
  • 認証方式の確認
解答選択欄
  • d:
  • d=

解説

この設問の解説はまだありません。

設問3

〔攻撃3への対応〕について,(1)~(3)に答えよ。
(1) 本文中のeに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
e に関する解答群
  • 2要素認証が実装されている
  • ECサイトで要求しているパスワードの強度が低い
  • ECサイトで利用していないポートが開いている
  • FWのルールの末尾に全て拒否のルールが設定されている
  • OSの脆弱性修正プログラムが適用されていない
  • 問合せフォーム処理時のアクセスが攻撃かどうかの判別に不備がある
  • ファイルへのアクセス制御に不備がある
  • 複数のサイトで認証情報を使い回している顧客がいる
解答選択欄
  • e:
  • e=

解説

この設問の解説はまだありません。
(2) 本文中のfに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
f に関する解答群
  • 攻撃者の入力したパスワードが誤っていることを攻撃者に知られてしまう
  • 顧客が何回もパスワードを間違えてJサイトにログインできなくなる
  • 顧客が利用者IDを変更した際にJサイトにログインできなくなる
  • 導入の際,顧客自身での生体情報の登録が必要になる
  • ボットと顧客を判別できなくなる
解答選択欄
  • f:
  • f=

解説

この設問の解説はまだありません。
(3) 本文中の下線②について,どのような対応が必要か。解答群のうち,最も適切なものを選べ。
解答群
  • アカウントロックされた顧客からの問合せへの対応マニュアルを作成する。
  • 顧客の連続ログイン失敗回数をログインログから算出し,その値に基づいて,連続ログイン失敗回数の上限を全顧客で一つ決定する。
  • 今回の不正ログイン試行の回数をログインログから抽出して,連続ログイン失敗回数の上限を決定する。
  • 生体認証導入前に,Webページにカスタマサポート部の問合せ先を掲載しておく。
  • パスワードを連続5回間違えたらアカウントロックする。
  • ボットからのアクセスを検知したらアカウントロックする。
解答選択欄
  •  
  •  

解説

この設問の解説はまだありません。

設問4

〔攻撃4への対応〕について,(1),(2)に答えよ。
(1) 本文中のgに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
g に関する解答群
  • 問合せフォームに入力できる文字数の制限はあるが,文字種の制限がない
  • 問合せフオームへのアクセスを顧客用アカウントをもっている者だけに許可している
  • 問合せを投稿する際に投稿者を認証する機能がある
  • 問合せを投稿する際にボットかどうかを判別する仕組みがない
解答選択欄
  • g:
  • g=

解説

この設問の解説はまだありません。
(2) 本文中のh1h2に入れる対策と課題を,次の(ⅰ)~(ⅹ)の中から一つずつ挙げた組合せはどれか。hに関する解答群のうち,最も適切なものを選べ。
[対策]
  1. 問合せの通信パケットをキャプチャし,解析する
  2. 問合せは顧客用アカウントをもっている者だけに許可し,問合せ投稿時に認証情報を暗号化する
  3. 問合せは顧客用アカウントをもっている者だけに許可し,問合せフォームへの入力後に認証情報をハッシュ化する
  4. 問合せフォームへの入力後にCAPTCHAへの対応を求める
  5. 問合せフオームへの入力の許容上限時間を設定する
[課題]
  1. パスワード誤りが続いてアカウントロックされる
  2. パスワードを間違えて問合せが投稿できない
  3. パスワードを間違えてメールが送信できない
  4. ボットと認識されて問合せが投稿できない
  5. ボットと認識されてメールが送信できない
h に関する解答群
pm01_4.gif
解答選択欄
  • h:
  • h=

解説

この設問の解説はまだありません。

設問5

表2中のikに入れる字句はどれか。解答群のうち,最も適切なものをそれぞれ選べ。
i,j,k に関する解答群
  • WAFが検知した攻撃のうちJサイトの脆弱性を悪用した攻撃の数
  • カスタマサポート部に入った電話での問合せ数
  • 同一IPアドレスからの問合せフォームへのアクセス数
  • 同一の顧客用アカウントについて一定数以上のIPアドレスから試行したログイン数
  • 同一の顧客用アカウントについて失敗したログイン数
  • 複数の顧客用アカウントについて同一のIPアドレスから試行したログイン数
解答選択欄
  • i:
  • j:
  • k:
  • i=
  • j=
  • k=

解説

この設問の解説はまだありません。

Pagetop