Miraiってかっこいいイメージですが

情報処理安全確保支援士の平成３０年秋　午前２問題
（全２５問）を３問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはＩＰＡに準じています。

問１０
JIS X 9401:2016（情報技術－クラウドコンピューティ
ング－概要及び用語）の定義によるクラウドサービス
区分の一つであり、クラウドサービスカスタマの責任
者が表中の項番１と２の責務を負い、クラウドサービ
スプロバイダが項番３～５の責務を負うものはどれか。

ア　HaaS
イ　IaaS
ウ　PaaS
エ　SaaS

問１１
マルウェアMiraiの動作はどれか。

ア　IoT機器などで動作するWebサーバの脆弱性を悪用
　　して感染を広げ、WebサーバのWebページを改ざ
　　んし、決められた日時に特定のIPアドレスに対して
　　DDoS攻撃を行う。
イ　Webサーバの脆弱性を悪用して企業のWebページ
　　に不正なJavaScriptを挿入し、当該Webページを
　　閲覧した利用者を不正なWebサイトへと誘導する。
ウ　ファイル共有ソフトを使っているPC内でマルウェ
　　アの実行ファイルを利用者が誤って実行すると、
　　PC内の情報をインターネット上のWebサイトにア
　　ップロードして不特定多数の人に公開する。
エ　ランダムなIPアドレスを生成してtelnetポートにロ
　　グインを試行し、工場出荷時の弱いパスワードを使
　　っているIoT機器などに感染を広げるとともに、Ｃ＆
　　Ｃサーバからの指令に従って標的に対してDDoS攻
　　撃を行う。

問１２
HTTP Strict Transport Security(HSTS)の動作はどれ
か。

ア　HTTP over TLS(HTTPS)によって接続しているとき、
　　EV SSL証明書であることを利用者が容易に識別でき
　　るように、Webブラウザのアドレス表示部分を緑色
　　に表示する。
イ　Webサーバからコンテンツをダウンロードするとき、
　　どの文字列が秘密情報かを判定できないように圧縮
　　する。
ウ　WebサーバとWebブラウザとの間のTLSのハンドシ
　　ェイクにおいて、一度確立したセッションとは別の
　　新たなセッションを確立するとき、既に確立したセ
　　ッションを使って改めてハンドシェイクを行う。
エ　Webサイトにアクセスすると、Webブラウザは、以
　　降の指定された期間、当該サイトには全てHTTPＳに
　　よって接続する。

（正解でござんすよ）
ウ
エ
エ

（解説するぞなもし）

１０
先頭の
Ｓはソフトウエア（アプリケーション以下）
Ｐはプラットフォーム（ミドルウエア以下）
Ｉはインフラストラクチャ（ＯＳ＋ハードウエア以下）
って覚えてください。

１１
Miraiっていいことしそうな名前ですが、これは違います。
IoT機器に感染を広げるマルウエアです。工場出荷時の
セキュリティの弱い機械を狙います。

１２
HSTSはブラウザにHTTPSでの通信を強制するしくみです。
これを受け取ったブラウザは当該のページに以後HTTPSで
アクセスしようとします。