2015年 秋期 応用情報技術者試験 問1

ソーシャルネットワーキングサービスのセキュリティ

次の問1は必須問題です。必ず解答してください。

P社は，ソーシャルネットワーキングサービスの運営会社である。P社のサービス（以下，P-SNSという）は，約30,000人の会員が利用している。PCやスマートフォンのWebブラウザから簡単に日記や写真を登録できることが人気で，会員数を伸ばしつつある。

P-SNSの利用方法

P-SNSの利用には，会員登録が必要である。利用を希望するユーザは，会員情報として希望するアカウント名とパスワード，電子メールアドレス，ニックネーム，プロフィール情報（氏名，誕生日，年齢，性別，居住地）を入力し会員登録を行う。会員登録をすると，P-SNS内にマイページが作成される。

会員登録後は，アカウント名とパスワードを用いてP-SNSにログインし，日記や写真を登録して，マイページを更新する。

P-SNSでは，マイページ内の日記や写真について，情報の公開範囲の設定が可能であり，P-SNS内に無制限に公開するか，特定の会員だけに公開するかを設定できる。ただし，日記や写真以外の情報については，公開範囲の設定ができず，P-SNS内に無制限に公開される。

日記と写真をP-SNS内に無制限に公開する設定にした場合，他の会員がPCのWebブラウザからアクセスしたときに見えるP-SNSのマイページのイメージを図1に示す。

P-SNSのアカウント名とパスワードの設定ポリシ

P-SNSでは，アカウント名とパスワードの設定ポリシを図2のように定めており，設定ポリシを満たさないアカウント名やパスワードは設定できないように，会員登録時やパスワード変更時に入力チェックが行われる。

不正ログインの発覚

ある日，会員のQさんからP社に，"情報の公開範囲の設定が勝手に変更され，日記や写真が無制限に公開されている"とのクレームが入った。

そこで，P社カスタマサポート担当のR君が，QさんのアカウントG利用状況調査を行うことになった。まず，R君がアクセスログからログイン状況を調査したところ，クレームの前日に，Qさんのアカウントでログインを試みるアクセスが100回あったことを確認した。そのうち，99回はパスワード誤りによってログインが拒否されており，最後の1回でログインが成功していた。また，Qさんへのヒアリングから，Qさん自身はこの日にログインしていないことが分かった。そこで，R君は，Qさんのアカウントが第三者による不正ログインに使用されたと判断し，Qさんのアカウントの利用を停止し，P-SNSの全会員に不正ログインの事件発生について注意喚起の案内を行った。

次にR君は，Qさんへのヒアリングから，設定されていたパスワードが氏名と誕生日を組み合わせた単純なものであったことが判明したので，今回の攻撃はaである可能性が高いと判断した。また，アカウント名とパスワードの組合せが第三者に知られたことから，bに備えて，P-SNSと同じパスワードを設定している他のサービスについてもパスワードを変更するように，Qさんにアドバイスした。

不正ログインに対する調査

R君は，Qさん以外の会員のアカウントに対する不正ログインについても調査を行った。その結果，Qさんの場合と同様の100回程度のログイン試行の記録が幾つか見つかった。

R君は，P-SNSのマイページには，①公開範囲の設定ができない情報の中にこれらの攻撃の足掛かりとなるものがあり，不正ログインにつながるリスクが高いと考えた。

不正ログイン対策の検討

R君は，不正ログイン対策として，次の三つの対策を検討した。

対策1：アカウント名とパスワードの設定ポリシを見直して，悪意をもった第三者がP-SNSに不正ログインしにくくする。

対策2：パスワード誤りによってログインが一定の回数拒否された場合，アカウントの利用を自動的に停止する機能を追加する。

対策3：悪意をもった第三者がP-SNSに不正ログインできないように，アカウント名とパスワードによる認証に加え，Cookieによる認証を追加する。

対策3を採用した場合の，会員登録から初回ログインまでの手順を図3に示す。

ユーザがWebブラウザを用いて会員登録機能から会員登録を行うと，Cookie発行機能のURLが記載された電子メール（以下，メールという）がCookie発行メール送信機能から送信される。ユーザは，メールソフトを用いてメールを受信し，メール内に記載されたURLからCookie発行機能にWebブラウザを用いてアクセスする。ユーザがアカウント名とパスワードを入力し認証が完了すると，ログイン用Cookieが発行される。Cookie発行機能のURLは，登録した会員一人一人にメールを送信する都度，異なるものが発行され，メールの送信から1時間だけ有効である。また，発行されたログイン用Cookieの有効期間は半年間とし，ログインするたびに有効期間がその日から半年間に更新される。

会員がP-SNSにログインするときには，会員が入力するアカウント名とパスワードとともにログイン用CookieがログイN機能へ送信される。ログイン機能では，送信されたログイン用Cookieがその会員に発行されたログイン用Cookieと異なる場合にはアクセスを拒否する。

会員が利用端末を変更したい場合やCookieの有効期間が過ぎた場合には，Cookie発行メール送信機能に対して，Cookie発行機能のURLが記載されたメールの送信を要求する。その後，会員登録時と同様にログイン用Cookieを入手する。

なお，P-SNSの通信は暗号化し，悪意をもった第三者が盗聴しても必要な情報を入手できないようにする。

その後R君は，アカウントへの不正ログインの足掛かりとなった情報を全会員のマイページから削除するとともに，Cookieによる認証機能の導入を行った。

設問1 本文中のa，bに入れる適切な字句を解答群の中から選び，記号で答えよ。

aに関する解答群 ア DoS攻撃　　　　　　　　　イ サイドチャネル攻撃 ウ 標的型攻撃　　　　　　　　エ 類推攻撃

bに関する解答群 ア ゼロデイ攻撃　　　　　　　イ 総当たり攻撃 ウ パスワードリスト攻撃　　　エ フィッシング攻撃

設問2 本文中の下線①について，攻撃の足掛かりとなる情報とは何か，プロフィール情報とニックネームを除く情報の中から，10字以内で答えよ。

設問3 〔不正ログイン対策の検討〕について，(1)〜(4)に答えよ。

(1) 対策1について，Qさんのアカウントへの攻撃手法に対する対策として有効ではないものを，解答群の中から選び，記号で答えよ。

解答群 ア 英和辞典にある英単語の利用禁止 イ パスワード中に会員情報として登録した文字列を含めることの禁止 ウ パスワードに記号文字を含めることの必須化 エ 半年以上ログイン実績がないアカウントの利用停止

(2) アカウント名とパスワードによる認証がユーザを認証するのに対し，Cookieによる認証は何を認証するものか。10字以内で答えよ。

(3) 図3の手順によって，今回のような悪意をもった第三者のログインが拒否される理由を25字以内で述べよ。

(4) 図3の手順を用いることで，会員登録時に入力した情報の有効性を確認できる。どの情報の有効性を確認できるか。15字以内で答えよ。