令和6年度(春期)問1の分析|情報処理安全確保支援士
riss
未経験の文系で情報処理安全確保支援士に受かる
令和4年度(春期)午後1問3の分析|情報処理安全確保支援士
riss
問題・解答は情報処理推進機構(IPA)のページからダウンロードできます。
概要
問題の要約
- QRコード決済サービス(Qサービス)用のサーバプログラム及びQサービスを利用するためのスマートフォン向けアプリケーションプログラム(Qアプリ)の機能ごとの概要について情報処理安全確保支援士(登録セキスペ)のC課長にレビューしてもらった。
- C課長は、経済産業省が2020年に公表した”オンラインサービスにおける身元確認手法の整理に関する検討報告書”を確認するよう指示した。
- 報告書によると、Qサービスにおいては、アカウント作成時に身元確認を、Qサービスのログイン時に当人認証を実施することになる。
- 身元確認の方法について、”犯罪による移転防止に関する法律施行規則”の規定を参考に、銀行側が利用者の身元確認を行い、かつ、銀行がその記録を保存していることを確認すれば、Qサービスのアカウント作成時に身元確認を実施したとみなせると考えた。
- 身元確認をオンラインで行う方法として、金融庁が公表している”犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要”の個人顧客向けの本人確認方法が採用できると考えた。
- 当人認証を強化する方法として、利用者IDとパスワードによる認証後にSMSで認証コードを利用者に送り、入力させる方法が考えられる。
主な論点
- 身元確認と当人認証
- 本人確認書類
- 公的個人認証サービス
着眼点
| 問題文 |
| P14表1 利用者は、口座番号及びキャッシュカードの数字4桁の暗証番号を入力する。 |
| 脆弱性 |
| 漏えいしている口座番号と暗証番号を悪用する方法や、口座番号と暗証番号をだまして聞き出し、悪用する方法により、攻撃者が他人の氏名でアカウント作成を行い、他人の銀行口座とのひも付けが行われるリスクがある(設問2(1))。 |
| 対策 |
| アカウント作成時に身元確認を実施する。具体的には、本人確認書類を用いた方法と電子証明書を用いた方法がある。 |
| 問題文 |
| P14表1 利用者IDとパスワードでQサービスにログインする。 |
| 脆弱性 |
| 漏えいした利用者IDとパスワードにより攻撃者がログインする可能性がある。 |
| 対策 |
| 利用者IDとパスワードによる認証後にSMSで認証コードを利用者に送り、入力させる方法を実装する。(P17) |
| 問題文 |
| P16 写真付き本人確認書類の画像と容貌の画像により本人確認する。 |
| 脆弱性 |
| 事前に準備した他人の画像が用いられる可能性がある。 |
| 対策 |
| Qアプリが毎回ランダムな数字を表示し、利用者がそのランダムな数字を紙に書き、その紙と一緒に容貌や本人確認書類を撮影する。(設問2(5)) |
| 問題文 |
| 利便性を向上させるために、ログインが成功した場合は、1か月間、ログイン状態を保持することを考えた。 |
| 脆弱性 |
| Qサービスにログインした状態で、スマートフォンの画面ロックを設定していないと、スマートフォンを盗まれた場合、Qサービスが不正利用される可能性がある。(設問3(1))。 |
| 対策 |
| Qアプリの起動時に、PINコードで利用者を認証する機能を実装する。(設問3(2)) |
情報処理推進機構(IPA)の講評
出題趣旨
近年、スマートフォンを用いた決済において不正利用事件が多発している。IPAが公表してる”情報セキュリティ10大脅威”の個人部門では”スマホ決済の不正利用”が2020年度、2021年度で1位となっており、サービス提供者による対策が望まれている。
本問では、スマートフォン向けのQRコード決済サービス用プログラムの開発を題材として、不正利用が発生するリスクとサービス提供者での対策について、セキュリティの観点での対応力を問う。
採点講評
問3では、スマートフォン向けQRコード決済サービスを題材に、決済サービスで不正利用が発生するリスクとその対策について出題した。全体として正答率は平均的であった。
設問2(4)は、正答率が低かった。公開鍵暗号の仕組みについて、電子証明書の有効性を確認する方法が必要となるが、このことを理解していないと思われる解答が多かった。公的個人認証サービスでは、地方公共団体情報システム機構(J-LIS)がOCSPによる方法とCRLによる方法を提供している。これらの方法について知っておいてほしい。
設問2(5)は、正答率がやや低かった。Qアプリが表示するランダムな数字について、”当該数字を撮影する”という解答が多かった。そういった方法では、撮影したのが本人なのか確認できない。オンラインにおける本人確認手法は、今後も様々な手法が提案させると思われるが、現在使われている最新の手法を理解しておいてほしい。
設問3(1)は、正答率が平均的であった。オンラインサービスの設計では、どのような不正が発生するのかを洗い出して、対策を検討することを心掛けてほしい。