本文へスキップ

FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER

基本情報技術者の問題解説:A社の会員サイトでは、未ログイン状態で発行したセッションID…

情報セキュリティ 難しい fe_b_v89_sec_006

問題

A社の会員サイトでは、未ログイン状態で発行したセッションIDをログイン後も使い続けている。さらにURL中のパラメタでセッションIDを受け取る旧仕様も残っていた。攻撃者は、被害者に特定のセッションID付きURLを踏ませ、そのIDのままログインさせることを狙っている。

対策として、最も適切なものはどれか。

  1. ログイン画面に注意書きを増やす。
  2. ログイン成功時にセッションIDを再発行し、URLでのセッションID受渡しを廃止してCookieにはSecure,HttpOnly,SameSite属性を設定する。(正解)
  3. セッションIDを短くする。
  4. ログイン後のトップページをランダムに変える。
  5. パスワードの最小文字数だけを長くする。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

正解と解説

正解:ログイン成功時にセッションIDを再発行し、URLでのセッションID受渡しを廃止してCookieにはSecure,HttpOnly,SameSite属性を設定する。

セッション固定では、攻撃者が知るセッションIDをログイン後も使い続けることが問題です。ログイン成功時にIDを再発行することが中心対策になります。

URLでの受渡しは漏えいしやすいため廃止し、Cookie属性も併用します。注意書きやパスワード強化だけでは固定IDを無効化できません。

Hardでの見抜き方:セッション固定では、ログイン前から攻撃者が知っているIDをログイン後も使うことが危険です。ログイン成功時のID再発行と、URLでIDを渡さない設計をセットで考えましょう。

紛らわしい用語との違い:セッション固定は、攻撃者が「事前に用意したID」を被害者にログインさせて使わせる攻撃で、ログイン後にIDを盗むセッションハイジャックとは順序が逆です。だからこそ、攻撃者が知り得ないIDへログイン時に作り替える再発行が決定打になり、Cookie属性やURL廃止は漏えい経路をふさぐ補強策と位置づけられます。

他の選択肢はなぜ違う?

  • 注意書きを増やしても固定IDは無効化されない。
  • IDを短くするのは逆効果(推測されやすくなる)。
  • トップページをランダムにしても固定IDの問題は残る。
  • パスワード長の強化はセッション固定と別の対策。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。

公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。

参考範囲: 2026年度現行科目B・シラバスVer.9.x参考

参考文献・出典(公式情報)

RELATED

関連問題