情報処理安全確保支援士 令和4年度 春季試験 午後Ⅰ 問3を解説していきます。
出題テーマ:決済サービスにおける不正利用とリスク対策
出題テーマは『決済サービスにおける不正利用とリスク対策』でした。
テーマの名前だけ聞くと身構えてしまいます。
ですが実態は、技術的な問題の出題が少なく、QRコード決済や銀行系のアプリを使用したことがあればこの実体験から解答することができる問題でした。
ということで、基本的には文章中のヒントや実体験から解答することができる国語の問題だったかと思います。
設問1
【b】については、『利用者IDとパスワードでQサービスにログインする。』際には当人(本人)であることを証明する必要があると考えることができます。
ということで、『b:ア Qサービスへのログイン』となります。
設問2 (1)
銀行口座とのひも付けを行う際に必要な情報としては、『当該銀行が運用する講座振替登録用のWeb画面が開かれるので、利用者は、口座番号、キャッシュカードの数字4桁の暗証番号を入力する。』とありますので、口座番号とキャッシュカードの暗証番号の2つのみとなります。
つまり、この2つの情報を何かしらの手段で入手することができれば、他人の銀行口座とのひも付けを行うことができるというわけです。
口座番号とキャッシュカードの暗証番号を入手する方法としては、以下の3つが考えられます。
- 漏えいしている情報を用いる
- 盗み見る
- 聞き出す
ということで解答例としては、『漏えいしている口座番号と暗証番号を用いる(20文字)』、『ATMの操作時に盗み見た口座番号と暗証番号を用いる(25文字)』、『不正に聞き出した口座番号と暗証番号を用いる(21文字)』となります。
設問としては『方法を二つ挙げ』とありますので、このうち2つを解答できればよいです。
ちなみにですが、現実で実際に登録を行う場合は、銀行のオンラインサービスへのログインが必要だったり、通帳の最後に印字されている金額などの入力などの情報を求められることが多いです。
なので、一筋縄では悪用できないようになっています。
設問2 (2)
本人確認書類でよく求められるものを思い出してみてください。
運転免許証、パスポート、マイナンバーカードetcなどが挙げれますが、健康保険証はNGだったり、1点だけではダメで他にも身分確認できるものの提示を求められることもあります。
運転免許証にあって、保険証にないものは顔写真です。
ということで解答例としては、『顔写真(3文字)』となります。
ちなみに、情報処理安全確保支援士を始めとした情報処理試験を受験する際にも顔写真付きの身分証明書が必要となります。
当日忘れないようにご注意ください。
設問2 (3)
この問題は数少ない技術が問われる問題です。
【d】および【e】の部分として、『マイナンバーカード内の【d】でQサービスの申込用のデータにデジタル署名し、当該デジタル署名、当該データ本体、署名用証明書をQサービスに送付する。Qサービス側で、デジタル署名が利用者本人のものであり、改ざんされていないことをQサービスの利用者の【e】を用いて確認した後』とあります。
通常暗号化が行われる際には、公開鍵で暗号化した情報(データ)を秘密鍵で復号します。
デジタル署名はその逆を行うもので、『秘密鍵』で暗号化したハッシュ値を『公開鍵』で復号し、ハッシュ値が一致しているかを確認します。
ということで解答としては、『d:ウ 秘密鍵』、『e:イ 公開鍵』となります。
設問2 (4)
この問題も数少ない技術が問われる問題です。
ちなみにこれ以降で技術が問われる問題はありません。
【f】の部分として、『地方公共団体情報システム機構に【f】を確認する。』とあります。
また、『マイナンバーカードには、地方公共団体情報システム機構が発行した署名用電子証明書などが格納されている。』とあります。
証明書のなにかを発行元に問い合わせていますが、これは証明書の有効性を確認しています。
証明書には有効期限があります。
有効期限が切れているかどうかは見れば確認可能ですが、証明書を再発行したなどの理由から有効期限が切れる前に証明書を失効させている場合もあります。
なので、証明書の有効性を問い合わせる必要があるわけです。
有効性の確認の方法としては、2つあります。
1つ目はCRLという証明書の失効情報が記載されているリストをダウンロードしてくる方法、2つ目はOCSPというOCSPサーバに問い合わせを行い失効情報を確認する方法があり、問い合わせという点からOSCPを用いていると考えることができます。
厳密にはOCSPサーバは証明書を発行した認証局(CA)や検証局(VA)が管理していることが多くこれらに問い合わせを行います。
ということで解答例は、『署名用電子証明書の有効性(12文字)』となります。
設問2 (5)
【g】の部分として、『“Qアプリが毎回ランダムな数字を表示し、利用者が【g】して、直ちに送信することによって、L社では提出された画像が事前に準備されたものではないことを確認する”という方法が考えられる。』とあります。
単純に画像を送信するだけで良ければ、他人のものを使用したりすることができる状態となっています。
これは、2ちゃんねる(5ちゃんねる)好きな方、利用した方ですと理解が早いかと思います。
2ちゃんねる(5ちゃんねる)では投稿時にIDが付与されます。
そして、画像を投稿(うp)する際には本当に本人が投稿している画像なのかを証明するためにIDを記載した紙が映り込みようにして撮影することが求められる場合があります。
事前にIDを推測したりすることは不可能ですので、正しいIDを記載した紙が映り込んでいれば本人が投稿している写真であることの証明となります。
ということで解答例としては、『紙にランダムな数字を書いて、その紙を写した状態で写真を撮影(29文字)』と考えることができます。
2ちゃんねる(5ちゃんねる)とかをあまり知らない人はごめんなさい。
設問3 (1)
下線②として、『Qサービスにログインした状態で、スマートフォンの画面ロックを設定していないと、Qサービスが不正利用されることがある。』とあります。
単純に考えて、画面ロックを設定していないスマートフォンが他人の手に渡ったら、不正利用が行わる可能性があります。
ということで解答例としては、『スマートフォンを盗まれた場合(14文字)』、『スマートフォンを他人に貸した場合(16文字)』などが考えられます。
設問3 (2)
下線③としては、『Qアプリに不正利用を防ぐための機能を追加する』とあります。
使っている方はQRコード決済やネット銀行のアプリを思い浮かべてみるとよいかと思います。
全てではありませんが、アプリ起動時に顔認証(FaceID)や指紋認証(TouchID)、PINコードを求められるかと思います。
アプリ起動時にこれらの認証を行っていれば、スマホ自体のロック機能を使用していない状態で盗まれたりしても、アプリの不正利用は防ぐことができるというわけです。
顔認証、指紋認証はスマートフォン側が対応している必要がありますが、ここら辺の定義などは問題文中に記載がありませんので、どんなスマートフォンでも入力することができるPINコードを解答として選んでおくのがよいかと思います。
ということで解答例としては、『Qアプリ起動時にPINコードの入力を求めること(22文字)』と考えることができます。
公式解答例との比較
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。
予想配点はあくまで予想ですので参考程度でお願いします。
出題テーマは『決済サービスにおける不正利用とリスク対策』でした。
技術的な問題が少なく、実際のQRコード決済や銀行のアプリを使用したことがあれば実体験をもとに解答することができたかと思います。
普段何気なく使用しているアプリにもセキュリティの勉強になることが潜んでいます。
これらのサービスを使用したことがない方は、QRコードは様々な会社が参入していますが、どれか1つは利用しておくと便利かと思いますし、最近はNISAなどの投資に関するものをよく見かけますので、ネット銀行・ネット証券の口座を開設してみるのもよいかと思います。
総じて、難易度としては易しい~やや易しいだと思い、選択すべきラッキー問題だったと思います。
配点 |
|||
設問1 | a:イ b:ア |
a:イ b:ア |
各3点 |
設問2 (1) | 漏えいしている口座番号と暗証番号を用いる(20文字) ATMの操作時に盗み見た口座番号と暗証番号を用いる(25文字) 不正に聞き出した口座番号と暗証番号を用いる(21文字) |
漏えいしている口座番号と暗証番号を悪用する方法 口座番号と暗証番号をだまして聞き出し、悪用する方法 |
各5点 |
設問2 (2) | 顔写真(3文字) | 写真 | 4点 |
設問2 (3) | d:ウ e:イ |
d:ウ e:イ |
各3点 |
設問2 (4) | 署名用電子証明書の有効性(12文字) | 署名用電子証明書の有効性 署名用電子証明書の失効の有無 |
5点 |
設問2 (5) | 表示されたランダムな数字を紙に書いて、その紙を写した状態で写真を撮影 | そのランダムな数字を紙に書き、その紙と一緒に容貌や本人確認書類を撮影 | 7点 |
設問3 (1) | スマートフォンを盗まれた場合(14文字) スマートフォンを他人に貸した場合(16文字) |
スマートフォンを盗まれた場合 | 5点 |
設問3 (2) | Qアプリ起動にPINコードの入力を求めること(22文字) | Qアプリの起動時に、PINコードで利用者を認証する機能 | 7点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。
YouTube解説動画
情報処理安全確保支援士の問題解説
その他の年度、問題解説は以下のページにまとめております。