情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

4.認証 > 4.3 所有物認証

ワンタイムパスワード(One Time Password)の仕組みの中で「サーバはクライアントから送られた使い捨てパスワードを演算し、サーバで記憶している前回の使い捨てパスワードと比較することによって、クライアントを認証する(H22春SC午前2問4)」 仕組みは何か?
これは難しい。
まず、ワンタイムパスワード(One Time Password)は、パスワードの盗聴に備え、パスワードを1回限りにする仕組み。パスワードがたとえ盗聴されても、そのパスワードは利用できないので安全になる。
7a536a8a

確か、電卓のようなものでパスワードを発行した記憶があります。




恐らくそれは、有名なRSAセキュリティ社のSecurIDだね。トークンと呼ばれるパスワード生成器を使い、時刻同期方式にて認証する。
 それ以外にはS/KEYというソフトウェアがある。今回はS/KEYワンタイムパスワードの説明である。これが正解。

ワンタイムパスワードには大きく、①S/KEY方式と②時刻同期方式がある。他にもたくさんあるようだが、試験対策としてはこの2つで十分であろう。
過去問(H23NW午後2問2)に時刻同期方式の問題があるので引用する。
社外でTCを使用するときには,トークンを使ったワンタイムパスワード(以下,OTPという)方式の認証でセキュリティを確保する。
(中略)
OTPは,時刻同期方式を利用する。社員に,あらかじめトークンと呼ばれるパスワード生成器を配布する。トークンが生成する数字は1分経過ごとに変化し,一度しか使用できない。本方式では,時刻のずれが発生するので,ずれの許容範囲を設定する。認証サーバは,許容範囲内で認証を試みて,認証できたらトークンとの時刻のずれを推定して記憶し,次回の認証時に,記憶したずれを基に時刻の補正を行う。

設問3〔社外でのTC使用時のセキュリティ対策〕について,(1),(2)に答えよ。
(1) トークンが生成する数字を変化させる時間間隔を長くすると,トークンに表示された数字を正しく入力しても,不正パスワードになるケースが発生することがある。その理由を,20字以内で述べよ。
(2) 本文中の時刻同期方式で,ずれた時刻を認証サーバが推定する方法を,50字以内で述べよ。
OTPのトークンを見たことがある人も多いことだろう。
キーホルダーぐらいの大きさの機器だ。この液晶画面に表示される数字がOTP。
otp

 











時刻同期方式は,現在時刻を基にしてパスワードを作成する。トークンが計算したOTPと,認証サーバが計算したOTPが一致するかで認証を行う。
4

なぜ、時刻同期をするのですか?
「時刻」というのが、唐突な感じで、疑問です。



時刻同期をしなければ,昨日のパスワードでも、1週間前にトークンで作成したパスワードでもログインできる。つまり,ログインできるパスワードが増えるので,不正ログインのリスクが広がるからだ。
5
問題文に、「本方式では,時刻のずれが発生する」とありますね。
時刻同期なので、認証サーバとトークンは時刻の同期をしているのでは?




同期をしていないね。そもそも、両者はつながっていないからさ。
さて、設問の解答例は以下である。
(1)パスワードの再使用となるから
(2)認証できたパスワードが生成された時刻と,パスワードを受信した時刻の差から推測する

MACアドレス認証はセキュリティ対策として不十分と言われている。
なぜでしょうか?

理由①
クライアントPCでMACアドレスの偽装が簡単にできること。

最近は簡単にできなくなったようですが、昔のパソコンは、マイネットワークのプロパティで、簡単に変更ができた。

理由②MACアドレスは暗号化されないので、盗聴可能であること。
例えば、無線LANによってWEPで暗号化したとしても、MACアドレスは暗号化されない。

この2つから、MACアドレスを盗聴したうえでそのMACアドレスに偽装されるからです。
情報セキュリティスペシャリスト試験を勉強する成子
ん?
では、MACアドレスも暗号化すればいいのではないですか?
そうすれば、認証として安全ですよね?
いや、MACアドレスを暗号化してしまったら、そもそも通信ができない。どこにフレームを転送すればいいかも分からないからだ。

過去問(H25SC秋午後1問2)を見てみよう。
 
〔スマホアプリの利用者認証〕
 Bさんは,スマホアプリを開発するに当たり,利用者認証について情報システム部
のC課長に相談した。次は,そのときの会話である。
Bさん:スマホアプリを繰返し利用してもらうために,面倒なログイン操作は初回だけにして,2回目以降は自動的に利用者が認証されるようにしたいと考えています。
C課長:2回目以降はどんな情報を用いて利用者を認証するのかね。
Bさん:スマートフォンには, IMEI (International Mobile Equipment Identity)などの固有の端末識別番号が付与されていますので,これを用いて利用者を認証することを考えています。
C課長:確かに端末識別番号は端末の固有コードにはなるね。しかし,①端末識別番号の特性を考えると,自分の端末識別番号を別の端末で利用されて,サービス認証に使うわけにはいかないな。
Bさん:そのまま使うのが問題であれば,端末識別番号を基にスマホアプリ内で②鍵付きハッシュ関数で算出したハッシュ値を使うという方法はどうでしょう。
 このスマホアプリ専用の鍵を一つ用意して,スマホアプリ内に格納しておけば,不正利用を防ぐことができるのではないかと思います。
C課長:しかし,③鍵を秘密にしておくことが難しいので,その方法を採用してはいけないと思うよ。スマートフォンサイトでの利用者認証は,一般的なPCサイトと同じように考えた方がいいのではないかな。
Bさん:分かりました。

設問1 〔スマホアプリの利用者認証〕について, (1)~(3)に答えよ。
(1)C課長が本文中の下線①のように判断したのは,端末識別番号のどのような特性からか。 20字以内で述べよ。
(2)本文中の下線②の鍵付きハッジュ関数を解答群の中から選び,記号で答えよ。
 解答群
   ア AES
   イ HMAC
   ウ RIPEMD
   工 SHA-256
(3)本文中の下線③について,どのような手法で鍵を知られてしまうか。30字以内で述べよ。

詳しくは別途書きたいが
スマホ端末の個体識別番号(IMEI)は、*#06# と入力すると表示される。これとは別に、利用者を認証するSIMカードのIMSI(International Mobile Subscriber Identity)という番号もある。
端末のSIMを入れ替えた場合、両者があれば、「誰がどの端末」を使っているかの識別ができる。

正解は
(1)秘密情報ではないという特性
(2)イ
(3)スマホアプリをリバースエンジニアリングする

ディジタル署名機能を組み込んだICカードの利用が広がっている。パスワード認証だけの場合、パスワードが漏えいすれば、例えばインターネット上のシステムの場合に世界中のどこからでも不正利用できてしまう。しかし、ICカードなどの認証デバイスを利用した認証の場合、ICカードを持っていないと認証できない。セキュリティの強度は大幅に上がる。

 さらに、会社の社員証と兼用するなどして存在価値を高めれば、ICカードの貸し借りが減り、人的なセキュリティリスクをさらに防ぎやすくなる。
 また、PIN(Personal Identification Number)入力を求めて二要素認証をすることで、ICカードが盗まれてもPINが分からなければ不正アクセスされることはない。

 一般的なPINの運用に関しては、H18SV午後Ⅰ問3に事例が掲載されているので紹介する。

 ICカードには、新規発行時に初期PINが設定され、従業員にはICカード受領後に初期PINを変更することを義務付けた。
(中略)
 従業員がPINを入力し、連続して5回照合に失敗すると、そのICカードを使用不可能な状態(以下、ロック状態という)とする。従業員がPINを忘れてしまった場合や、ロック状態となった場合は、人事総務部が管理者としてICカードを回収し、ロックを解除した後、再度PINを設定して、従業員に返却する。
(H18SV午後Ⅰ問3より抜粋)

ICカードの欠点は、ICカード読み取り装置が必要であり、初期コストがかかることである。

■補足:ICカード(USBトークン)のPIN
・証明書を利用する際に、PINコードを入力しないと利用できない。
・最初に管理者からeTokenをもらったときに、初期パスワード(PIN)が設定されているので、自分しかしらないパスワードに変更する。
・ 忘れてしまった場合は、管理者しか復旧できない。
・ PINコードや証明書には有効期限を設けておくべきであろう。
・PINロック:一定回数以上パスワード入力に失敗すると、ロックされる。※ロックを設定しないことも可能。管理者のみロック解除ができる。
・USBトークンを初期化することは可能。ただし、その場合、内容は全て削除される。

Q 知らない店からのクレジット請求がきました。どうやら、クレジット番号を不正使用して第三者がその店から購入したようです。
この場合、誰が責任をとる?
 1.利用者 
 2.店 
 3.クレジットカード会社
状況によりますが、店(だと思われます。)
お店が本人確認などを怠ったという理由です。サインをきちんと確認しなかったなどの場合です。
3Dセキュアなどを導入していれば店の責任ではなくカード会社が保障することになるかもしれません。
とはいえ、無用なトラブルに巻き込まれたり、もやもやしないために、カードには上限額の設定をしておくとよいでしょう。カード会社によっては、自動増額設定がされてある場合があります。いつのまにか上限が100万円という大金になっている場合があります。クレジットカード会社への確認も必要ですね。
sef1
話が変わりますが、解約したカードがあるんですけど、そのカードから請求書が届きました。
しかも、私の銀行口座から引き落としをするんですって。

びっくりしました。
その点は、知らない人もいるが、そうらしい。
クレジットカードを解約したら、カード会社との関係が切れると思っていたが、某社(だけ?)の場合は7年間、情報を保持するということ。つまり、その間に請求が来たら、銀行口座から引き落とされる。
 d18680c9 
今回の場合は、私が年間契約の支払い情報を変更していなかったのが原因。
だから、私の責任と思っている。
でも、不正な第三者が請求をした場合でも、同じように請求されることがあるということが分かった。
そう。だから、初回の特典を期待して、カードをたくさん作るという行為はやめた方がいいだろうね。

このページのトップヘ