Miraiってかっこいいイメージですが
情報処理安全確保支援士の平成30年秋 午前2問題
(全25問)を3問ずつ解いていきます。問題の解き
方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。
問10
JIS X 9401:2016(情報技術-クラウドコンピューティ
ング-概要及び用語)の定義によるクラウドサービス
区分の一つであり、クラウドサービスカスタマの責任
者が表中の項番1と2の責務を負い、クラウドサービ
スプロバイダが項番3~5の責務を負うものはどれか。
ア HaaS
イ IaaS
ウ PaaS
エ SaaS
問11
マルウェアMiraiの動作はどれか。
ア IoT機器などで動作するWebサーバの脆弱性を悪用
して感染を広げ、WebサーバのWebページを改ざ
んし、決められた日時に特定のIPアドレスに対して
DDoS攻撃を行う。
イ Webサーバの脆弱性を悪用して企業のWebページ
に不正なJavaScriptを挿入し、当該Webページを
閲覧した利用者を不正なWebサイトへと誘導する。
ウ ファイル共有ソフトを使っているPC内でマルウェ
アの実行ファイルを利用者が誤って実行すると、
PC内の情報をインターネット上のWebサイトにア
ップロードして不特定多数の人に公開する。
エ ランダムなIPアドレスを生成してtelnetポートにロ
グインを試行し、工場出荷時の弱いパスワードを使
っているIoT機器などに感染を広げるとともに、C&
Cサーバからの指令に従って標的に対してDDoS攻
撃を行う。
問12
HTTP Strict Transport Security(HSTS)の動作はどれ
か。
ア HTTP over TLS(HTTPS)によって接続しているとき、
EV SSL証明書であることを利用者が容易に識別でき
るように、Webブラウザのアドレス表示部分を緑色
に表示する。
イ Webサーバからコンテンツをダウンロードするとき、
どの文字列が秘密情報かを判定できないように圧縮
する。
ウ WebサーバとWebブラウザとの間のTLSのハンドシ
ェイクにおいて、一度確立したセッションとは別の
新たなセッションを確立するとき、既に確立したセ
ッションを使って改めてハンドシェイクを行う。
エ Webサイトにアクセスすると、Webブラウザは、以
降の指定された期間、当該サイトには全てHTTPSに
よって接続する。
(正解でござんすよ)
ウ
エ
エ
(解説するぞなもし)
10
先頭の
Sはソフトウエア(アプリケーション以下)
Pはプラットフォーム(ミドルウエア以下)
Iはインフラストラクチャ(OS+ハードウエア以下)
って覚えてください。
11
Miraiっていいことしそうな名前ですが、これは違います。
IoT機器に感染を広げるマルウエアです。工場出荷時の
セキュリティの弱い機械を狙います。
12
HSTSはブラウザにHTTPSでの通信を強制するしくみです。
これを受け取ったブラウザは当該のページに以後HTTPSで
アクセスしようとします。