設問1
(1)
ホテルWi-Fiと同じSSIDと事前共有鍵(21字)
SさんはホテルWi-Fiを利用しようとしたが、攻撃者が用意した無線LANには
ホテルWi-Fiと同じSSIDと事前共有鍵が設定されており、騙されて偽のホテルWi-Fiに接続された。
ホテルのロビーにはそれら情報が張り出されており、宿泊客で共通とのこと。
(2)
a: メールサービスP
b: 攻撃者が用意したWebサーバ
図2に、SさんはメールサービスPに接続しようとしたが、実際には攻撃者が用意したWebサーバに接続していた、とある。
これは攻撃者が用意したDNSサーバに、メールサービスPのFQDNと攻撃者が用意したWebサーバのIPアドレスを関連付けるレコードが設定されたと考えられる
(3)
HTTPで接続が開始されたから(15字)
証明書でエラーが表示されなかった、とのことなので
そもそもとして証明書の検証が行われていない、そしてそのフローが無い
HTTPで通信を行っていたと考えられます。
設問2
(1)
OTPの入力を要求し、OTPを認証サーバXに中継する処理(28字)
仮にOTPを導入したとしても、偽サイトにOTPの入力を受け付ける場合
入力したOTPが攻撃者に盗まれて、不正アクセスに利用されてしまう。
(2)
c:ウ(秘密鍵A)
d:ア(公開鍵A)
e:エ(秘密鍵K)
f:イ(公開鍵K)
c,dについて
cは署名を作成するので何かの秘密鍵が入る
dの直前に証明書Aを検証しているが、この証明書には公開鍵Aも同封されている
その公開鍵Aを用いて署名Lを検証する。
となるとcには公開鍵Aの対となる秘密鍵Aが入る
e,fについて
c,dを解いていればほぼ決め打ち。
eで署名Mを作成し、fで署名Mを検証している
eには秘密鍵Kが入り、fは公開鍵Kが入る
(3)
認証サーバXでオリジンbとオリジンsの一致を確認しているから(30字)
オリジンとは「スキーム」「ホスト(ドメイン)」「ポート番号」の3つの組み合わせのこと
仮に偽サイトに接続した場合、そのオリジン(オリジンb)と認証サーバXのオリジン(オリジンs)
の一致を確認する。
オリジンの内、特にドメインは唯一のものなので本物のオリジン(オリジンb)と同じものにすることはできず、見かけだけそっくりかもしれませんが一致はしません。
このことからオリジンの一致を確認することで、偽サイトに接続したかどうかを検知できます。
感想
特段必要な知識はなさそうに思えます
問題文に説明をちゃんと書いてくれています、やさしい。
が、毎回そうとは限らない
今回で言うと、HSTS,TOTP,オリジン これらは試験でよく見るので知っておきたい。
後は最近流行り(?)のパスワードレス認証に関して
WebAuthnやFIDO(最新はFIDO2)も知っておきたい。
平成31年度 春期 午後1 問2 クラウドサービスのセキュリティ
Uncategorized
コメント