過去問(H25SC秋午後1問2)を見てみよう。
 
〔スマホアプリの利用者認証〕
 Bさんは,スマホアプリを開発するに当たり,利用者認証について情報システム部
のC課長に相談した。次は,そのときの会話である。
Bさん:スマホアプリを繰返し利用してもらうために,面倒なログイン操作は初回だけにして,2回目以降は自動的に利用者が認証されるようにしたいと考えています。
C課長:2回目以降はどんな情報を用いて利用者を認証するのかね。
Bさん:スマートフォンには, IMEI (International Mobile Equipment Identity)などの固有の端末識別番号が付与されていますので,これを用いて利用者を認証することを考えています。
C課長:確かに端末識別番号は端末の固有コードにはなるね。しかし,①端末識別番号の特性を考えると,自分の端末識別番号を別の端末で利用されて,サービス認証に使うわけにはいかないな。
Bさん:そのまま使うのが問題であれば,端末識別番号を基にスマホアプリ内で②鍵付きハッシュ関数で算出したハッシュ値を使うという方法はどうでしょう。
 このスマホアプリ専用の鍵を一つ用意して,スマホアプリ内に格納しておけば,不正利用を防ぐことができるのではないかと思います。
C課長:しかし,③鍵を秘密にしておくことが難しいので,その方法を採用してはいけないと思うよ。スマートフォンサイトでの利用者認証は,一般的なPCサイトと同じように考えた方がいいのではないかな。
Bさん:分かりました。

設問1 〔スマホアプリの利用者認証〕について, (1)~(3)に答えよ。
(1)C課長が本文中の下線①のように判断したのは,端末識別番号のどのような特性からか。 20字以内で述べよ。
(2)本文中の下線②の鍵付きハッジュ関数を解答群の中から選び,記号で答えよ。
 解答群
   ア AES
   イ HMAC
   ウ RIPEMD
   工 SHA-256
(3)本文中の下線③について,どのような手法で鍵を知られてしまうか。30字以内で述べよ。

詳しくは別途書きたいが
スマホ端末の個体識別番号(IMEI)は、*#06# と入力すると表示される。これとは別に、利用者を認証するSIMカードのIMSI(International Mobile Subscriber Identity)という番号もある。
端末のSIMを入れ替えた場合、両者があれば、「誰がどの端末」を使っているかの識別ができる。

正解は
(1)秘密情報ではないという特性
(2)イ
(3)スマホアプリをリバースエンジニアリングする