本文へスキップ

FE SUBJECT B

基本情報技術者 科目Bの問題解説:B社のオンライン手続サイトでは、URLのパラメタにセッション…

情報セキュリティ 標準 fe_b_v89_sec_026

問題

B社のオンライン手続サイトでは、URLのパラメタにセッションIDを付けて受け渡しており、ログイン後もそのIDを使い続けている。利用者がメールで送られてきたリンクからサイトを開いて手続を進めたところ、そのリンクに含まれていたセッションIDが第三者にも知られており、手続内容を第三者に閲覧される事象が起きた。担当者がセッション管理の見直しを行う。

見直しとして、最も適切なものの組合せはどれか。

  1. セッションIDをURLではなくCookieで受け渡し、ログイン成功時に再発行する。(正解)
  2. 手続完了画面のデザインを刷新する。
  3. セッションIDの桁数を減らして扱いやすくする。
  4. リンクのドメイン名を短く変更する。
  5. 手続の入力項目数を増やす。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

正解と解説

正解:セッションIDをURLではなくCookieで受け渡し、ログイン成功時に再発行する。

状況の整理:セッションIDがURLに含まれているためリンク経由で第三者に漏れ、かつログイン後も同じIDを使い続けているため、攻撃者がそのIDでなりすませます。URL露出とセッション固定の複合問題です。

なぜアか:Cookieでの受け渡しはURLやメールからのID漏えいを防ぎ、ログイン時の再発行は漏れたIDを無効化します。両方の弱点に対処できます。

誤答の理由:イ(デザイン)・エ(ドメイン名)・オ(入力項目)は無関係です。ウ(桁数を減らす)はIDが推測されやすくなり、安全性をさらに下げる悪手です。

読み解きのコツ:セッションIDがURLにあると漏えいの温床になります。Cookie化と再発行はセットで覚えましょう。

他の選択肢はなぜ違う?

  • 完了画面のデザインはセッション漏えいと無関係。
  • 桁数を減らすのは推測されやすくなる改悪。
  • ドメイン名の長さは無関係。
  • 入力項目を増やしてもセッションIDの露出は止まらない。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。

公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。

参考範囲: 2026年度現行科目B・シラバスVer.9.x参考

参考文献・出典(公式情報)

RELATED

関連問題