R5 秋 3

R5 秋 3　合計：30/50

設問１4

(1) 4

ウ、エ

設問2 14

(1) 4

攻撃者の偽サイトで利用者が入力したTOTPを入手しクラウド管理サイトに入力する

• 振り返り

  OTPではなく、TOTPなので、時間についても回答する必要があった。

(2) 2

ア

(3) 2

イ

(４)

バックエンド上のファイルに保存されたシークレットを読み込む方法

• ふりかえり

(5) 2

ログイン者の端末のみに格納されている秘密鍵を用いて署名されたデータを検証する

• 振り返り

  流れは合っていたが、もっと具体的に回答できればなおよかった。

  署名するデータは、サーバからブラウザに送信される「サーバのFQDN」と「チャレンジ」なので、署名対象のデータも含めて回答するべきだった。

(6) 2

ア

設問３ 14

(1) 2

攻撃者が細工したPアプリが利用者の端末で起動される攻撃

(2) 4

認証用API キーを廃止する対応

(3)

HSM自身に秘密鍵が保存される利点

• 振り返り

  私の回答ではただどこに保存するか記載しただけなので、利点というには少しずれていると思われる。

  したがって、HSMに保存されるので「秘密鍵が漏えいしにくい」とHSMに保存されることによる利点を回答する必要があった。

(4) 8

影響：

Pアプリが起動しない問題

対応：

Pアプリをアップロードする