やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

平成27年度 秋期 応用情報技術者試験 午後 問1【SNSのセキュリティ】

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「SNSのセキュリティ」を取り上げた「平成27年秋 応用情報技術者試験 午後 問1」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成27年秋 応用情報技術者試験 午後 問1

問1 ソーシャルネットワーキングサービスのセキュリティに関する次の記述を読んで、設問1〜3に答えよ。

 P社は、ソーシャルネットワーキングサービスの運営会社である。P社のサービス(以下、P-SNSという)は、約30,000人の会員が利用している。PCやスマートフォンのWebブラウザから簡単に日記や写真を登録できることが人気で、会員数を伸ばしつつある。

〔P-SNSの利用方法〕

 P-SNSの利用には、会員登録が必要である。利用を希望するユーザは、会員情報として希望するアカウント名とパスワード、電子メールアドレス、ニックネーム、プロフィール情報(氏名、誕生日、年齢、性別、居住地)を入力し会員登録を行う。会員登録をすると、P-SNS内にマイページが作成される。

 会員登録後は、アカウント名とパスワードを用いてP-SNSにログインし、日記や写真を登録して、マイページを更新する。

 P-SNSでは、マイページ内の日記や写真について、情報の公開範囲の設定が可能であり、P-SNS内に無制限に公開するか、特定の会員だけに公開するかを設定できる。ただし、日記や写真以外の情報については、公開範囲の設定ができず、P-SNS内に無制限に公開される。

 日記と写真をP-SNS内に無制限に公開する設定にした場合、他の会員がPCのWebブラウザからアクセスしたときに見えるP-SNSのマイページのイメージを図1に示す。

f:id:aolaniengineer:20200201204448p:plain

〔P-SNSのアカウント名とパスワードの設定ポリシ〕

 P-SNSでは、アカウント名とパスワードの設定ポリシを図2のように定めており、設定ポリシを満たさないアカウント名やパスワードは設定できないように、会員登録時やパスワード変更時に入力チェックが行われる。

f:id:aolaniengineer:20200201204734p:plain

〔不正ログインの発覚〕

 ある日、会員のQさんからP社に、”情報の公開範囲の設定が勝手に変更され、日記や写真が無制限に公開されている”とのクレームが入った。

 そこで、P社カスタマサポート担当のR君が、Qさんのアカウントの利用状況調査を行うことになった。まず、R君がアクセスログからログイン状況を調査したところ、クレームの前日に、Qさんのアカウントでログインを試みるアクセスが100回あったことを確認した。そのうち、99回はパスワード誤りによってログインが拒否されており、最後の1回でログインが成功している。また、Qさんへのヒアリングから、Qさん自身はこの日にログインしていないことが分かった。そこで、R君は、Qさんのアカウントが第三者による不正ログインに使用されたと判断し、Qさんのアカウントの利用を停止し、P-SNSの全会員に不正ログインの事件発生について注意喚起の案内を行った。

 次にR君は、Qさんへのヒアリングから、設定されていたパスワードが氏名と誕生日を組み合わせた単純なものであったことが判明したので、今回の攻撃は(a:類推攻撃)である可能性が高いと判断した。また、アカウント名とパスワードの組合せが第三者に知られたことから、(b:パスワードリスト攻撃)に備えて、P-SNSと同じパスワードを設定している他のサービスについてもパスワードを変更するように、Qさんにアドバイスした。

類推攻撃

 「設定されていたパスワードが氏名と誕生日を組み合わせた単純なものであった」と記載されていることから、攻撃者が推測して不正ログインを試みる類推攻撃である可能性が高いと判断できます。

 氏名と誕生日はマイページ画面に公開されており、攻撃者が100回程度の試行でログインに成功することが可能であったと思われます。

パスワードリスト攻撃

 「P-SNSと同じパスワードを設定している他のサービスについてもパスワードを変更する」と記載されており、流出したアカウントとパスワードの組み合わせリストを他のWebサイトでも不正ログインに利用するパスワードリスト攻撃に対する予防策であることが分かります。 

〔不正ログインに対する調査〕

 R君は、Qさん以外の会員のアカウントに対する不正ログインについても調査を行った。その結果、Qさんの場合と同様の100回程度のログイン試行の記録が幾つか見つかった。

 R君は、P-SNSのマイページには、①公開範囲の設定ができない情報の中にこれらの攻撃の足掛かりになるものがあり、不正ログインにつながるリスクが高いと考えた。

①について攻撃の足掛かりになる情報(プロフィール情報とニックネームを除く) →アカウント名

 公開範囲の設定ができない情報で、マイページで誰でも参照できる情報は、「ニックネーム」「アカウント名」「プロフィール」です。

 ログインに必要となる情報の一つであるアカウント名が第三者に見られる状態であることは、当該アカウント名が存在する事実を公開してしまっていることになり、不正ログインのリスクを高めてしまいます。

〔不正ログイン対策の検討〕

 R君は、不正ログイン対策として、次の三つの対策を検討した。

対策1:アカウント名とパスワードの設定ポリシを見直して、悪意をもった第三者がP-SNSに不正ログインしにくくする。

対策①について、Qさんのアカウントへの攻撃手法に対する対策として有効ではないもの(4択)

英和辞典にある英単語の利用禁止:不正解

 類推攻撃は、パスワードに一般名詞や英単語などを使用している場合に突破されやすくなるので、これらを利用禁止にすることは有効です。 

パスワード中に会員情報として登録した文字列を含めることの禁止:不正解

 同じく、会員情報から類推されるため、有効です。 

パスワードに記号文字を含めることの必須化:不正解

 記号文字を含めることで文字列として意味を持たないものになるため、有効です。

半年以上ログイン実績がないアカウントの利用禁止:正解

 類推攻撃に対しては有効な対策ではありませんが、長期間使用されていないアカウントはセキュリティ上のリスクになります。

対策2:パスワード誤りによってログインが一定の回数拒否された場合、アカウントの利用を自動的に停止する機能を追加する。

対策3:悪意をもった第三者がP-SNSに不正ログインできないように、アカウント名とパスワードによる認証に加え、Cookieによる認証を追加する。

 対策3を採用した場合の、会員登録から初回ログインまでの手順を図3に示す。

f:id:aolaniengineer:20200201204804p:plain

 ユーザがWebブラウザを用いて会員登録情報から会員登録を行うと、Cookie発行機能のURLが記載された電子メール(以下、メールという)がCookie発行メール送信機能から送信される。ユーザは、メールソフトを用いてメールを受信し、メール内に記載されたURLからCookie発行機能にWebブラウザを用いてアクセスする。ユーザがアカウント名とパスワードを入力し認証が完了すると、ログイン用Cookieが発行される。Cookie発行機能のURLは、登録した会員一人一人にメールを送信する都度、異なるものが発行され、メールの送信から1時間だけ有効である。また、発行されたログイン用Cookieの有効期間は半年間とし、ログインするたびに有効期間がその日から半年間に更新される。

 会員がP-SNSにログインするときには、会員が入力するアカウント名とパスワードとともにログイン用Cookieがログイン機能へ送信される。ログイン機能では、送信されたログイン用Cookieがその会員に発行されたログイン用Cookieと異なる場合にはアクセスを拒否する。

 会員が利用端末を変更したい場合やCookieの有効期間が過ぎた場合には、Cookie発行メール送信機能に対して、Cookie発行機能のURLが記載されたメールの送信を要求する。その後、会員登録時と同様にログイン用Cookieを入手する。

 なお、P-SNSの通信は暗号化し、悪意をもった第三者が盗聴しても必要な情報を入手できないようにする。

アカウント名とパスワードによる認証がユーザを認証するのに対し、Cookieによる認証は何を認証するものか →Webブラウザ

 Cookieは、Webサーバにおいてアクセスするユーザを識別するために、ユーザ情報をWebブラウザに保存する仕組みです。

図3の手順によって、今回のような悪意をもった第三者へのログインが拒否される理由 →ログイン用Cookieの値を知らないから

 Cookieの値は公開されておらず、登録した利用者のメールアドレスに送信されてくるCookie発行機能のページからのみ取得できるものであるため、攻撃者がCookieの値を知ることはできません。

図3の手順を用いることで、会員登録時に入力した情報の有効性を確認できる。どの情報の有効性を確認できるか →電子メールアドレス

 Cookie発行に際し、電子メールアドレスに対してCookie発行機能のURLが送信されてくるため、電子メールアドレス自体の有効性が確認できることになります。

 その後R君は、アカウントへの不正ログインの足掛かりとなった情報を全会員のマイページから削除するとともに、Cookieによる認証機能の導入を行った。

【出典:応用情報技術者試験 平成27年度秋期午後問1(一部、加工あり)】