読者です 読者をやめる 読者になる 読者になる

情報処理技術者試験ナビ

当サイトは準備中です。

情報処理安全確保支援士 H29春 午後Ⅰ 問2

問題

Webサイトのセキュリティ対策に関する次の記述を読んで,設問1〜3に答えよ。

 E社は,従業員数200名の情報サービス事業者である。E社は,3年前からWebサイトα(以下,サイトαという)を利用して,次のような機能をもつ会員制の飲食店情報提供サービスを行っている。

  • 飲食店情報の検索
  • 飲食店情報に関する掲示板での投稿
  • 新規登録情報の,会員への電子メール(以下,メールという)による通知

 サイトαに対する議弱性修正プログラムの適用や,コンテンツ作成などの日々の作業は,情報提供サービス担当チームが行っている。チームはリーダのQさんと5名のメンバで構成されている。サイトので稼働しているWebアプリケーションソフトウェアは,情報提供サービス担当チームがベンダに開発と保守を委託している。サイトαの画面遷移図を図1に,画面遷移の仕様を表1に示す。

f:id:honmurapeo:20170424132655p:plain

f:id:honmurapeo:20170424132741p:plain

f:id:honmurapeo:20170424132807p:plain

〔利用者からの問合せ〕
 ある日,サイトαの利用者L氏から,“今朝9時にログインし,サイトαを利用していたら,10時に急にログアウトさせられ,その後ログインできなくなった。パスワードを再設定しようとしたが,エラーが表示され,再設定できない。”という内容のメールがE社宛てに届き,他にも同様の問合せが数件来た。
 情報提供サービス担当チームのXさんがサイトのの会員情報データベースにアクセスし,L氏の情報を確認したところ,退会処理が完了していた。Xさんは,誰かが嫌がらせ目的でL氏のアカウントで不正ログインし,退会処理を行った可能性を疑った。①XさんはL氏に詳細な利用状況を確認し,その確認内容とログイン記録を照合した結果から,L氏のアカウントは少なくとも今日は不正ログインされていないとの結論に至った
 Xさんが,ログインできなくなる前にどのような操作をしたかをL氏に聞いたところ,サイトの内の掲示板に投稿していた人のプロフィール画面を見て,そこに記載されていたリンクをクリックしたとのことであった。リンク先は,別サイトの URLであり,かつ,Xさんが確認した時点ではリンク先は既に削除されていた。Xさんは,今回の事象が起きたのはサイトαに脆弱性があるからかもしれないと考え,セキュリティ専門業者J社にWebアプリケーションソフトウェアの脆弱性検査 (以下,WebAP検査という)を依頼することにした。WebAP検査の結果,脆弱性が二つ(以下,脆弱性1,脆弱性2という)検出された。

 

〔脆弱性1について〕
 脆弱性1は  a  の脆弱性であった。脆弱性1を確認した手順を表2に示す。

f:id:honmurapeo:20170424132849p:plain

 次は,XさんがJ社の情報処理安全確保支援士K氏から,脆弱性1についての報告を受けた時の会話である。

Xさん:開発委託時の要件に  a  の脆弱性への対策を含めていたので,脆弱性1の対策はできていると思っていました。
K氏:対策を試みたけれど,プログラムの実装に不備があったようです。プロフィール確認画面についても脆弱性1が確認されています。
Xさん:そうですか。退会処理が行われてしまった利用者がクリックしたリンク先はどのようなものだったのでしようか。
K氏:例えば,図2のようなHTMLです。このHTMLは,表2中の項番  b  のような動作をWebブラウザにさせます。
Xさん:変更操作がある画面のうち,パスワード変更画面は,そもそも  a  の脆弱性への対策をしていませんが,問題ありませんか。
K氏:パスワード変更画面では表1にあるように,  c  を入力させる仕様です。  c  は攻撃者が  d  情報であることを前提としてよいので,問題ありません。画面遷移(お)のような実装の不備もないようでした。

f:id:honmurapeo:20170424132913p:plain

〔脆弱性2について〕
 脆弱性2は“クロスサイトスクリプティング”であった。脆弱性2を確認したのはプロフィール入力・変更画面であった。次はK氏とXさんとの会話である。

K氏:プロフィール入力・変更画面は,利用者が入力できるHTMLの要素が制限されています。しかし,例えば“<b>”タグ中に,②特定の属性を指定することによってスクリプトの実行が可能です。スクリプト実行の結果,Cookieの属性の設定によっては,Cookieの情報が盗まれます。これを用いて,  g  が行われ,勝手にプロフィールを閲覧されたり,変更されたりするおそれがあります。
Xさん:そういうことですか。では,利用者が入力できるHTMLの要素の制限は変えずに,  h  という仕様に変更したいと思います。
K氏:それで問題ありません。

 Xさんは,二つの脆弱性について,対策をベンダに依頼した。対策後,J社にWebAP検査を依頼し,問題がないことを確認した。Xさんは,リリース前のWebAP検査の義務化をQさんに提案し,採用された。

 

IPA公開情報

出題趣旨

 (公表前)

採点講評

 (公表前)