情報処理技術者試験 レベル4 情報処理安全確保支援士試験
の令和2年度午後2問題(全25問)を隔日3問ずつ解いてい
きます。問題の解き方や考え方を理解し、暗記していきましょ
う。
なお、問題の引用ルールはIPAに準じています。
※この年度は、コロナの影響でこの回のみ試験がありました。
問4
サイドチャネル攻撃の説明はどれか。
ア 暗号アルゴリズムを実装した攻撃対象の物理デバイスから
得られる物理量(処理時間や消費電流など)やエラーメッ
セージから、攻撃対象の機密情報を得る。
イ 企業などの秘密情報を窃取するソーシャルエンジニアリン
グの手法の一つであり、不用意に捨てられた機密情報の印
刷物をオフィスの紙ごみの中から探し出す。
ウ 通信を行う2者間に割り込んで、両者が交換する情報を自
分のものとすり替えることによって、その後の通信を気付
かれることなく盗聴する。
エ データベースを利用するWebサイトに入力パラメタとして
SQL文の断片を送信することによって、データベースを改
ざんする。
問5
ブロックチェーンに関する記述のうち、適切なものはどれか。
ア RADIUSを必須の技術として、参加者の利用者認証を一元管
理するために利用する。
イ SPFを必須の技術として、参加者間で電子メールを送受信す
るときに送信元の正当性を確認するために利用する。
ウ 楕円曲線暗号を必須の技術として、参加者間のP2P(Peer to
Peer)ネットワークを暗号化するために利用する。
エ ハッシュ関数を必須の技術として、参加者がデータの改ざん
を検出するために利用する。
問6
総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2
月から実施している取組「NOTICE」に関する記述のうち、適切な
ものはどれか。
ア NICTが運用するダークネット観測網において、Miraiなどのマ
ルウェアに感染したIoT機器から到達するパケットを分析した
結果を当該機器の製造者に提供し、国内での必要な対策を促す。
イ 国内のグローバルIPアドレスを有するIoT機器に、容易に推測さ
れるパスワードを入力することなどによって、サイバー攻撃に
悪用されるおそれのある機器を調査し、インターネットサービ
スプロバイダを通じて当該機器の利用者に注意喚起を行う。
ウ 国内の利用者からの申告に基づき、利用者の所有するIoT機器
に対して無料でリモートから、侵入テストやOSの既知の脆弱
性の有無の調査を実施し、結果を通知するとともに、利用者が
自ら必要な対処ができるよう支援する。
エ 製品のリリース前に、不要にもかかわらず開放されているポー
トの存在、パスワードの設定漏れなど約200項目の脆弱性の有
無を調査できるテストベッドを国内のIoT機器製造者向けに公
開し、市場に流通するIoT機器のセキュリティ向上を目指す。
(正解)
アエイ
(本日のクリティカルフレーズ)
・問題に潜む、解答を導くフレーズを赤字で示しています。
こうきたら、こう返すフレーズですので、要暗記です。
・紫字は解説となっています
問4
サイドチャネル攻撃の説明はどれか。
ア 暗号アルゴリズムを実装した攻撃対象の物理デバイスから
得られる物理量(処理時間や消費電流など)やエラーメッ
セージから、攻撃対象の機密情報を得る。
イ 企業などの秘密情報を窃取するソーシャルエンジニアリン
グの手法の一つであり、不用意に捨てられた機密情報の印
刷物をオフィスの紙ごみの中から探し出す。
ウ 通信を行う2者間に割り込んで、両者が交換する情報を自
分のものとすり替えることによって、その後の通信を気付
かれることなく盗聴する。
エ データベースを利用するWebサイトに入力パラメタとして
SQL文の断片を送信することによって、データベースを改
ざんする。
問5
ブロックチェーンに関する記述のうち、適切なものはどれか。
ア RADIUSを必須の技術として、参加者の利用者認証を一元管
理するために利用する。
イ SPFを必須の技術として、参加者間で電子メールを送受信す
るときに送信元の正当性を確認するために利用する。
ウ 楕円曲線暗号を必須の技術として、参加者間のP2P(Peer to
Peer)ネットワークを暗号化するために利用する。
エ ハッシュ関数を必須の技術として、参加者がデータの改ざん
を検出するために利用する。
問6
総務省及び国立研究開発法人情報通信研究機構(NICT)が2019年2
月から実施している取組「NOTICE」に関する記述のうち、適切な
ものはどれか。
ア NICTが運用するダークネット観測網において、Miraiなどのマ
ルウェアに感染したIoT機器から到達するパケットを分析した
結果を当該機器の製造者に提供し、国内での必要な対策を促す。
イ 国内のグローバルIPアドレスを有するIoT機器に、容易に推測さ
れるパスワードを入力することなどによって、サイバー攻撃に
悪用されるおそれのある機器を調査し、インターネットサービ
スプロバイダを通じて当該機器の利用者に注意喚起を行う。
ウ 国内の利用者からの申告に基づき、利用者の所有するIoT機器
に対して無料でリモートから、侵入テストやOSの既知の脆弱
性の有無の調査を実施し、結果を通知するとともに、利用者が
自ら必要な対処ができるよう支援する。
エ 製品のリリース前に、不要にもかかわらず開放されているポー
トの存在、パスワードの設定漏れなど約200項目の脆弱性の有
無を調査できるテストベッドを国内のIoT機器製造者向けに公
開し、市場に流通するIoT機器のセキュリティ向上を目指す。