にしのクエスト2

情報処理技術者試験と資格学校講師の日常

20240615101703

まいにちSC 平成30年秋問題解説 問10 問11 問12

Miraiってかっこいいイメージですが

f:id:koharuwest:20200705075614p:plain

情報処理安全確保支援士の平成30年秋 午前2問題
(全25問)を3問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。

問10
JIS X 9401:2016(情報技術-クラウドコンピューティ
ング-概要及び用語)の定義によるクラウドサービス
区分の一つであり、クラウドサービスカスタマの責任
者が表中の項番1と2の責務を負い、クラウドサービ
スプロバイダが項番3~5の責務を負うものはどれか。

f:id:koharuwest:20200708225953p:plain
ア HaaS
イ IaaS
ウ PaaS
エ SaaS


問11
マルウェアMiraiの動作はどれか。

ア IoT機器などで動作するWebサーバの脆弱性を悪用
  して感染を広げ、WebサーバのWebページを改ざ
  んし、決められた日時に特定のIPアドレスに対して
  DDoS攻撃を行う。
イ Webサーバの脆弱性を悪用して企業のWebページ
  に不正なJavaScriptを挿入し、当該Webページを
  閲覧した利用者を不正なWebサイトへと誘導する。
ウ ファイル共有ソフトを使っているPC内でマルウェ
  アの実行ファイルを利用者が誤って実行すると、
  PC内の情報をインターネット上のWebサイトにア
  ップロードして不特定多数の人に公開する。
エ ランダムなIPアドレスを生成してtelnetポートにロ
  グインを試行し、工場出荷時の弱いパスワードを使
  っているIoT機器などに感染を広げるとともに、C&
  Cサーバからの指令に従って標的に対してDDoS攻
  撃を行う。


問12
HTTP Strict Transport Security(HSTS)の動作はどれ
か。

ア HTTP over TLS(HTTPS)によって接続しているとき、
  EV SSL証明書であることを利用者が容易に識別でき
  るように、Webブラウザのアドレス表示部分を緑色
  に表示する。
イ Webサーバからコンテンツをダウンロードするとき、
  どの文字列が秘密情報かを判定できないように圧縮
  する。
ウ WebサーバとWebブラウザとの間のTLSのハンドシ
  ェイクにおいて、一度確立したセッションとは別の
  新たなセッションを確立するとき、既に確立したセ
  ッションを使って改めてハンドシェイクを行う。
エ Webサイトにアクセスすると、Webブラウザは、以
  降の指定された期間、当該サイトには全てHTTPSに
  よって接続する。


(正解でござんすよ)




(解説するぞなもし)

10
先頭の
Sはソフトウエア(アプリケーション以下)
Pはプラットフォーム(ミドルウエア以下)
Iはインフラストラクチャ(OS+ハードウエア以下)
って覚えてください。

11
Miraiっていいことしそうな名前ですが、これは違います。
IoT機器に感染を広げるマルウエアです。工場出荷時の
セキュリティの弱い機械を狙います。

12
HSTSはブラウザにHTTPSでの通信を強制するしくみです。
これを受け取ったブラウザは当該のページに以後HTTPSで
アクセスしようとします。