情報処理安全確保支援士 過去問解説 令和４年度春季【 午後１】

令和4年度春季も情報処理安全確保支援士の試験を解きました。

解答速報から少しずつ更新しておりまして、やっと解答の全体的な見直しと解説の記載まで完了しました。

ご不明点等あればコメント頂けますと助かります。

更新履歴	更新日時	内容
初版	2022/4/17 21:30
第二版	2022/4/18 11:40	全体的に見直し一部の解答を修正 問3追加 全体的に解説追加
第三版	2022/4/26 8:30	解説を追加
最終版	2022/6/21 20:00	IPA公式解答で全体見直し。修正点なし

情報処理安全確保支援士試験の概要についてはこちらをご覧ください。

総評

問1 Webアプリケーション開発	セキュアプログラミングに関する出題 javaのパッケージ名を解答させるなど、人によっては解きづらかった問題に思います。それ以外は一般的なセキュアプログラミングに関する出題なので、普段コードを書いていなくてもある程度は解答できるかと思います。 難易度　普通
問2 セキュリティインシデント対応	ネットワークに関する出題 知識を問うものから、問題文から読み取らせるものまで幅広く出題されています。難しい問題もありますが、知識問題は比較的解きやすかったため全体的にみると平均的かと思います。 難易度　普通
問3 QRコード決済	QRコード決済に関する出題 あまり見慣れないセキュリティ対策などもありますが、問題文に沿って解いていけば比較的解きやすかったかと思います。 難易度　普通

過去問解説はこちらから

情報処理安全確保支援士 問１ Webアプリケーションプログラム開発のセキュリティ対策

設問１

（１）表1 中の下線1について,適切な文字列の例を,解答群の中から選び,記号で答えよ。

解答

ア

解説

改行コードの¥n¥rをURLエンコードすると「ア」になります。

（２）表1中の下線2について,名称を, 10 字以内で答えよ。

解答

プレースホルダー

（３）表1中のaに入れる適切な字句を,5字以内で答えよ。

解答

改行コード

解説

メールヘッダインジェクションについての問われていますので、対策を記述します。詳細は下記のリンク参照

IPA メールヘッダ・インジェクション

設問２ 情報選択機能の脆弱性について

（１）本文中の下線3について,未参加のプロジェクトに参加しているかのように偽るための操作を,40字以内で具体的に述べよ。

解答

GETリクエストのクエリ文字列に未参加のプロジェクトidを指定する

解説

プロジェクトIDの取得方法は「方法1」に記載の通り、GETリクエストのクエリ文字列から取得することになっています。

しかしGETリクエストは利用者側で書き換えることができてしまうため、未参加のプロジェクトidを指定しても情報が閲覧できてしまします。

（２）本文中の下線3について,方法1の脆弱性が方法2で解決されるのはなぜか。30 字以内で述べよ。

解答

利用者がセッション情報を改ざんすることは困難なため

解説

利用者側で書き換えることができない領域から情報を取得するため、セッション情報を利用しています。

（３）図2中及び図3中のb に入れる適切な字句を,解答群の中から選び,記号で答えよ。

解答

ウ

解説

あとからSQLのプレースホルダを代入しているので「ウ」

（４）図2中のcに入れる適切な字句を答えよ。

解答

stmt

解説

ステートメントを代入

設問３ 図3中のdに入れる適切な字句を,図1中の属性名を含めて答えよ。

解答

情報番号 = ? AND プロジェクトID = ?

(初版で誤りがあったので修正)

解説

まず情報表示機能なので情報管理テーブルのプライマリーキーが必要になるため、情報番号をwhere句に指定します。

さらに、利用者の参加プロジェクトであることを条件にするために、プロジェクトＩＤも指定します。

情報処理安全確保支援士 問２ セキュリティインシデント対応

設問１ NAS-A 及びルータ-A の調査について

（１）本文中のa, bに入れる適切な字句を,解答群の中から選び,記号で答えよ。

解答

設問	解答
a	ア
b	エ

（２）表2中の下線1について, WAN 側で UPnP機能を有効にできる仕様とした場合, ルーターA が操作されることによって,どのようなセキュリティ上の問題が発生するか。発生する問題を,30 字以内で述べよ。

解答

インバウンド通信を全て許可に変更され不正に侵入される問題

解説

（３）本文中の下線2のように判断した理由を,40字以内で述べよ。

解答

NAS-A自体しかアクセスできないファイルも暗号化されていたため

解説

[NAS-A及びルータAの調査]の終盤に暗号化されたファイルについての記述がございます。

/rootディレクトリ配下のファイルも暗号化されていると記述があります。ここから、NAS-A自体がランサムウェアに感染していると判断できます。

設問２ 脆弱性の調査について

（１）図2中の に入れる適切な字句を, 15 字以内で答えよ。

解答

ディレクトリトラバーサル

（公式解答はパストラバーサルですが、上記でも正解）

（２）図2中のdに入れる適切な字句を, 15 字以内で答えよ。

解答

OSコマンドインジェクション

（３）図3中のe~g に入れる適切な字句を,解答群の中から選び,記号で答えよ。

解答

設問	解答
e	ア
f	ウ
g	イ

解説

最新版が見つからなかったので、とりあえず古いリンク

IPA ディレクトリトラバーサル攻撃

１．URLのデコードを行い、正規化可能な文字列に変更します。

http://192.168.0.1/images/../status.cgi

２．パス名の正規化を行い相対パス記法を変換します。

http://192.168.0.1/status.cgi

３．除外リストとの比較

http://192.168.0.1/status.cgi

このパスは除外ディレクトリに含まれておりませんので、認証をスキップすることはできません。

設問３ アクセスログの調査について

（１）本文中の下線3について,実行された OS コマンドの内容が分からなかった理由を、35字以内で述べよ。

解答

アクセスログにはpostパラメータが出力されていないため

（２）本文中の下線のについて,対策を, 50 字以内で具体的に述べよ。

解答

sudoコマンドの設定ファイルに定義されているtarコマンドのオプションの使用を禁止する

解説

sudoコマンドの設定ファイルは下記の設定がされています。

wwww ALL=NOPASSWORD:/bin/tar

こちらは「wwwユーザが」「どこからでも」「パスワード無しで」「/bin/tarコマンド」を実行する権限を与えています。

問題文にはtarコマンドには任意のOSコマンドを実行できるオプションがあるが、実務上は使っていないと記載がありますが、このオプションが悪用されたとのことです。

よって、このオプションを使えないようにしておきましょう。

設問４ 本文中のhに入れる適切な字句を,英字 10 字以内で答えよ。

解答

noindex

解説

検索エンジンにインデックスされないようにするためには、contentにnoindexを指定します。

情報処理安全確保支援士 問３ スマートフォン向けQRコード決済サービスの開発

設問１ 本文中のa , bに入れる適切な字句を,解答群の中から選び,記号で答えよ。

解答

設問	解答
a	イ
b	ア

解説

身元確認と当人認証は[本人確認]にて、それぞれ下記のように定義されています。

身元確認・・・登録する氏名・住所・生年月日等が正しいことを証明/確認すること。「アカウント登録した情報は間違いなく当人のもの」を確認する行為ですね。

当人認証・・・認証の3要素のいずれかの照合で、その人が作業していることを示すこと。「登録されたアカウントが操作している人と同じかどうか」を照合する行為です。

設問２ 身元確認について

（１）本文中の下線1について、攻撃者はどのようにして他人の銀行口座とのひも付けを成功させるか。その方法を二つ挙げ,それぞれ 30 字以内で述べよ。

解答

• 不正に入手した氏名・口座番号・暗証番号を利用する
• 事前にアカウントを準備し本人に口座番号・暗証番号を入力させる

解説

正直自信はないです。

表１内「銀行口座とのひも付け」では、必要な要素は下記3点になります。

• Qサービスのアカウント
• 口座番号・暗証番号などの口座情報
• 氏名（ひも付け認証時に利用）

この3点がすべて揃った場合に他人のアカウントに紐付けすることが可能です。

（２）表2中のcに入れる適切な字句を,5字以内で答えよ。

解答

顔写真

解説

IPAの「ITパスポート試験」の持ち物にもありますね。

有効な期限内の顔写真付き本人確認書類（運転免許証等（原本に限る））が必要です

「容貌の画像」でも間違いではないと思いますが、あまり言わないですね。

（３）本文中のd,eに入れる適切な字句を,解答群の中から選び,記号で答えよ。

解答

設問	解答
d	ウ
e	イ

解説

マイナンバーカードは公開鍵暗号方式を採用していることは明記されています。

総務省　公的個人認証サービスによる電子証明書

これを知らなくとも、デジタル署名を利用している時点で公開鍵暗号方式であることは分かります。

（４）本文中のfに入れる適切な字句を, 15 字以内で述べよ。

解答

署名用電子証明書の有効性

解説

マイナンバーカードの電子証明書に関する問題です。文章の流れで解答できると思いますが、詳細は下記参照。

署名用電子証明書・・・インターネット等で電子文書を作成・送信する際に利用します（例　e-Tax等の電子申請）。「作成・送信した電子文書が、利用者が作成した真正なものであり、利用者が送信したものであること」を証明することができます。

総務省　公的個人認証サービスによる電子証明書

（５）本文中のgに入れる適切な字句を, 40 字以内で述べよ。

解答

数字を記載したメモとともに容貌の画像を撮影

解説

こんなサービスがあるかどうかは別として、文脈の流れから判断。

むかしの２ｃｈを思い出しました（余談です）

設問３ 当人認証について

（１）本文中の下線2について, スマートフォンの画面ロックを設定していないと,どのような場合に不正利用が行われるか。20字以内で具体的に述べよ。

解答

スマートフォンが盗難された場合

解説

ログイン済み状態でスマートフォンが盗難されると、最長1か月間不正にQサービスが利用できる状態になってしまいます。

（２）本文中の下線3について,どのような機能が考えられるか。30 字以内で具体的に述べよ。

解答

QRコード表示時に生年月日等の追加認証を行い有効期限も設ける

チャージ時及びQRコード表示時に生年月日等の追加認証を行う

解説

スマートフォンが盗難された場合に考慮すべき脅威は２つ

1. 決済用のQRコードが表示されて、不正に利用される
2. QRコードが表示された状態のまま盗難される

ということで、上記2つに対して対策を行う機能を挙げています。２は考えすぎかもしれません。paypayの画面を想像しながら解答しました。

追加の認証もセキュリティ向上としては必要なのですが、生体認証について言及はなかったため本文中に記載のあって利用できそうな「生年月日」を認証要素として記載しました。

高いセキュリティを求めるのであればもちろん生体認証なのですが。

（2022/4/20追加）

チャージ時も認証が必要ですね。文字数の制限から「QRコードが表示された状態のまま盗難される」については考慮不要と思われるので、更新した解答が正解かと思われます。