令和7年度秋期 情報処理安全確保支援士試験(SC)の振り返り 午後問題
前置き
令和7年度秋期情報処理安全確保支援士試験(SC)を受験したので、記憶が新しいうちに復習を兼ねて振り返り記事を書きます。
この記事では、午後問題のうち問1と問2に対して、
- 当日の回答
- 思考プロセス
- 復習・再検討
- 今の回答
をそれぞれ書いていきます。
問題はIPA公式サイトのページ(別ウィンドウでリンクが開きます)でご参照ください。
問1
設問1
当日の回答
a:できない
b:できない
思考プロセス
a:「X-Frame-Options: SAMEORIGIN」とあり、他ドメインの記載がないため。
b:最初は迷って「できる」と問題用紙にメモしたが、設問2を解くうちに「「できない」なら話の筋が通るかな?」と思って「できない」に変更した。
復習・再検討
「Content-Security-Policy: default-src 'self';」なので、他ドメインからのリソース読み込みはできない。
また、default-srcの記載のみでscript-srcの記載がないため、インラインスクリプトの実行もできない。
確認のために検索していたらIPAのページ(別ウィンドウ、別サイトのリンク)がヒットした。
今の回答
a:できない
b:できない
設問2
当日の回答
(1)ロール管理
(2)タスク名
(3)個人タスク<script(省略)</script>
(4)e:管理者 f:締切日を過ぎた状態 g:管理者ロールの設定
(5)スクリプトタグ内にスクリプトを直接記述せず、参照させるファイルに記述する
思考プロセス
図3の「/management/role」などの記載から、スクリプトの目的は「管理者に、攻撃者のアカウントを管理者ロールに設定変更させること」と読解。
それを踏まえて(1)から(4)までは問題の各図表から当てはまるところを引っ張ってきて書いた。
(5)は前述の通り、この問題を考えているうちに「なんでxlsxファイルにスクリプトを書いたのか」→「インラインで実行できないからか!?」と思ってこう書いた。
復習・再検討
(1)から(4)までは、当日の回答を否定する材料は見つからなかった。
(5)も、設問1の再検討から内容は合っているはず。文章の書き方はもっと工夫の余地があったかも。
今の回答
(1)から(4)当日の回答と同様
(5)スクリプトをファイルに書いてアップロードし、そのファイルを参照して実行させるスクリプトを入力した
設問3
当日の回答
(1)ファイル参照時のパスがわからないようにする
(2)ロール管理
(3)ロール設定が行われたと管理者に通知する
思考プロセス
(1)「ファイルのパスがわからなかったら同じ攻撃はできないはず?」と、首をかしげながらとりあえず回答。
(2)(3)「管理者がロール設定に気づかなかったのが発覚の遅れになったので、そこが通知されたら改善される?」と、やはりとりあえず思いついた内容を記入。
復習・再検討
(1)「ファイル アップロード チェック」などのワードで検索して調べた感じ、MIMEタイプのチェックや設定らしい。MIMEはふんわりとしかわかっていないのでまた後日詳しく調べたい。
(2)(3)格納型クロスサイトスクリプティング攻撃の対策なんだから、出力文字列のサニタイズ処理だ!!(翌日になっての気づき)
で、類似の問題が起きそうなところ(=文章が投稿できる機能)は、表を見た限りスレッド投稿のみ。
今の回答
(1)MIMEタイプをチェック・修正する処理
(2)スレッド投稿
(3)文字列の出力時に制御文字をエスケープ処理する
設問4
当日の回答
ホワイトハッカーによる侵入テスト
思考プロセス
SASTは何かわからないから置いておいた。
「ツールで診断できなかったのなら、人力によるテストだろう」という考えで上記のように回答。カタカナ語を正しく書く自信がなかったので日本語で「侵入テスト」と書いた。
復習・再検討
SASTを調べたところ、ソースコードの静的解析とのことだった。
そして組み合わせるべきはDAST(動的ブラックボックステスト)とのこと。
ペネトレーションテスト(侵入テスト)も内容的には近いが、SASTと並べて書くならDASTがふさわしいだろう。
ここは用語を覚えていなかったので仕方ない。
今の回答
DAST
問2
設問1
当日の回答
ウ、エ、オ
思考プロセス
わからないなりにSAで終わるものを選んで書いた。
復習・再検討
「楕円曲線暗号 署名アルゴリズム」で検索した。ECDSA、EdDSAとのこと。
ECDHも楕円曲線暗号の応用だが、署名ではなく鍵共有のアルゴリズムらしい。
テスト前に「ECC=楕円曲線の暗号」と覚えようとしていたので、そこを思い出せていたらよかった。
今の回答
ウ、エ
設問2
当日の回答
施設Kの近くで電磁波を受信し、そこから鍵管理PCの動作内容を読み取る手法
思考プロセス
サイドチャネル攻撃のうち、一番できそうなのは電磁波読み取り(テンペスト攻撃・サイドチャネル攻撃)だと思ったので、その手法を書いた。
復習・再検討
施設で施せる対策としても電磁波の遮断が一番ありえそうなので、内容的には合っているのではないか。
これも文章の書き方に工夫の余地があったかも。
今の回答
当日の回答と同じ
設問3
当日の回答
(1)
1と2の間:攻撃者に対する移転依頼ファイルを作成し、業務用メディアに追加する
6と7の間:攻撃者に対する移転依頼ファイルを、従業員向けサーバにアップロードする
(2)ハッシュ
(3)一人ではなく二人以上で作業を行うよう、業務手順を改定する
思考プロセス
(1)Bコインが攻撃者に移転されることが結果(被害)なので、どうすればそうなるか考えた結果を書いた。ただ、正しい手順でのファイルとサーバの関係があやふや。
(2)「ファイル内容を証明する方法、ハッシュか」→「いや、共通鍵を使う場合は別の用語があったはず」と考えたが、思い出せなかったのでハッシュと記入。
(3)内部不正を防ぐ方法として、最初に思いついたもの。問4に関する文章(買収時の図6、7)に引きずられたと思うが、素直に従った。
復習・再検討
(1)出庫業務におけるファイル等の移動経路がいまだにふわふわとした理解状態。後日落ち着いて図にしてみる?
(2)調べたらMACだった。
(3)誘導されたとは今でも思うが、対策としては間違っていないはず。操作ログを残すなどの別解はありえると思う。
今の回答
(1)当日の回答と同じ
(2)MAC
(3)当日の回答と同じ
設問4
当日の回答
(1)作業2中に、攻撃者により移送用メディアとパスワードを書いた紙を物理的に奪われる可能性があること
(2)b:ウ(鍵S) c:ア(鍵E) d:エ(鍵D) e:ウ(鍵S) あ:オ(暗号化) い:ク(復号)
(3)移送用メディア内には暗号化されたデータしかないから
(4)攻撃者が作成した暗号鍵
思考プロセス
(1)「両方を一度に取られたら簡単に鍵が手に入るな」と読みながらすぐ思った。
(2)ちょっと悩んだ。鍵と会社の関係を図にしてみたらスッとわかった。
(3)「(1)の問題点を修正したのだから、それを書けばいいはず」という考えでこう書いた。
(4)問題の文章を読んで自然とそう思ったから。読み直したが否定材料もなかった。
復習・再検討
(1)回答の方向性は合っているはず。「両方」あるなら「鍵を復号できる」まで盛り込むべきだった、と今は思う。
(2)回答を否定する要素は見つからない。
(3)復号する方法(鍵)がない、という点も盛り込むべきだった。
(4)回答を否定する要素は見つからない。
今の回答
(1)作業2中に、攻撃者により移送用メディアとパスワードを書いた紙を両方とも奪われると、攻撃者が復号して署名鍵Sが漏えいする
(2)当日の回答と同じ
(3)移送用メディア内には暗号化されたデータしかなく、署名鍵Sを復号できないから
(4)当日の回答と同じ
振り返りのまとめ
文字列のエスケープ処理は当日思い出せていたら書けたはずなので悔やまれます。
他のできなかった回答は用語の暗記・理解不足が原因の大部分なので、反省して次に活かします。
コメント
コメントを投稿