FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
A社の会員サイトでは,利用者がサイトを最初に開いた時点でセッションIDを発行し,その後ログインに成功してもセッションIDを変更していない。診断で,攻撃者があらかじめ用意したセッションIDを何らかの方法で被害者に使わせ,被害者がそのIDのままログインすると,攻撃者は同じセッションIDを使って被害者になりすませることが指摘された。
対策として,最も適切なものはどれか。
- ア ログイン画面に表示する会社ロゴを大きくする。
- イ ログインに成功した時点で,セッションIDを新しく再発行する。
- ウ セッションIDをCookieではなくURLに含めて受け渡す。
- エ 会員のニックネームを必ず10文字以上にする。
- オ ログイン後にトップページの広告を非表示にする。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:ログインに成功した時点で,セッションIDを新しく再発行する。
正解:イ
状況の整理:ログイン前後でセッションIDが変わらないため,攻撃者が事前に仕込んだIDのまま被害者がログインすると,そのIDで攻撃者も入れてしまう。これがセッション固定攻撃。
なぜイか:ログイン成功時にセッションIDを再発行すれば,攻撃者が事前に知っていた古いIDは無効になり,なりすましが成立しなくなる。セッション固定の標準対策。
誤答の理由:ア(ロゴ)・エ(ニックネーム)・オ(広告)は無関係。ウ(URLに含める)はセッションIDが履歴やログに残り漏れやすくなるため,むしろ危険で逆効果。
読み解きのコツ:「ログイン前後でセッションIDが変わらない」はセッション固定の核。ログイン時の再発行を選ぶ。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。