エクスプロイトも、呪文みたいでかっこいいですよね。
情報処理安全確保支援士試験の平成30年春午前の問
題(全25問)を3問ずつ解いていきます。問題の解
き方や考え方をわかりやすく、解説してみる連載です。
なお、問題の引用ルールはIPAに準じています。
問4
エクスプロイトコードの説明はどれか。
ア 攻撃コードとも呼ばれ、脆弱性を悪用するソフトウェ
アのコードのことであるが、使い方によっては脆弱性
の検証に役立つこともある。
イ マルウェアのプログラムを解析して得られる、マルウ
ェアを特定するための特徴的なコードのことであり、
マルウェア対策ソフトの定義ファイルとしてマルウェ
アの検知に用いられる。
ウ メッセージとシークレットデータから計算されるハッ
シュコードのことであり、メッセージの改ざんの検知
に用いられる。
エ ログインの度に変化する認証コードのことであり、窃
取されても再利用できないので不正アクセスを防ぐ。
問5
シングルサインオンの実装方式に関する記述のうち、適切
なものはどれか。
ア cookieを使ったシングルサインオンの場合、サーバ
ごとの認証情報を含んだcookieをクライアントで生
成し、各サーバ上で保存、管理する。
イ cookieを使ったシングルサインオンの場合、認証対
象の各サーバを、異なるインターネットドメインに
配置する必要がある。
ウ リバースプロキシを使ったシングルサインオンの場合、
認証対象のWebサーバを、異なるインターネットドメ
インに配置する必要がある。
エ リバースプロキシを使ったシングルサインオンの場合、
利用者認証においてパスワードの代わりにディジタル
証明書を用いることができる。
問6
ファイアウォールにおけるダイナミックパケットフィルタ
リングの特徴はどれか。
ア IPアドレスの変換が行われるので、ファイアウォ
ール内部のネットワーク構成を外部から隠蔽できる。
イ 暗号化されたパケットのデータ部を復号して、許可さ
れた通信かどうかを判断できる。
ウ 過去に通過したリクエストパケットに対応付けられる
戻りのパケットを通過させることができる。
エ パケットのデータ部をチェックして、アプリケーショ
ン層での不正なアクセスを防止できる。
(正解でござんすよ)
ア
エ
ウ
(解説するぞなもし)
問4
悪意を持ったマルウエアの一種ですが、検証にも使わ
れます。
問5
クッキー型はお手軽ですが、同一ドメイン内であること。
また、保存先がクライアントであることがネック。
リバプロはいいんですが、やはり異なるドメインがダメ
だったり、プロキシを通過しないとダメだったりします。
問6
ダイナミックは以前通過した通信と対応した通信のみを
通します。
