R6 秋4

R6 秋4　合計：30/50

設問1 14

(1) 2

イ

(2) 2

(3) 2

攻撃者が指定したsessionIDとメール受信者の紐づけ情報がセッションに格納されること

• 振り返り

  具体的にログイン後の動作を記載した。意味としては正答と同じだが、前後の文章を見ると、「受信者がログイン」と記載した方が合っていた。

（4）4

セッションIDを新しく作成

(5) 4

e： 4

WebブラウザがMサイトにHTTPで通信を試みようとした際、HTTPSで通信し直すようにWebブラウザに要求する。

f： 0

MサイトがWebサイトへリクエストするコンテンツの拡張子を指定することができる。

• 振り返り

  拡張子ではなく、MIMEタイプを指定することができるものであった。

  拡張子：ファイルの.以降に付けられたもの。例えば、csv、pngなど

  MIMEタイプ：データの形式を明示するためのもの。application/jsonとか

  レスポンスでX-Content-Type-Optionsがnosniffの場合はブラウザがレスポンスのContent-Typeに指定されたデータの形式を見て処理する

  例えば、

  test.csvというファイルの中身に攻撃者のWebサイトへ遷移させるスクリプトが記載されたものであり、利用者がtest.csvをリクエストした場合、

  X-Content-Type-Optionsに指定がない場合は、ブラウザはtest.csvの中身を見てhtmlだと判定して処理を実行してしまう。

  対して、nosniffが指定されている場合は、ブラウザがContent-Typeに指定されているtext/csvであることをブラウザに伝えることで、csvとして処理するのでhtmlとして記載されたスクリプトは実行されない。

設問2 16

g ：2

画面09で、会社名にTo:攻撃者のメールアドレスを入力して変更ボタンをクリックし、画面11でOKボタンをクリックする。

h：4

画面08で、新しいWebAPIkeyを発行してHTTP Requestに設定できるようにする

api key

i 5

クライアント証明書の導入

j

利用者の端末にクライアント証明書を導入し、API通信時にAPIkeyと一緒に送信する。Mサイト側でAPIkeyとクライアント証明書の整合性が取れれば通信を実行する。

サイト

l 5

多要素認証の導入

m

利用者ID・PWによる認証の成功後、利用者にワンタイムパスワードを送信し、それを入力することで成功させる

• 振り返り

  内容的には、問題なかったと思われるが、それぞれの問の改善すべき理由を回答する問にて、仕様の改善の方針案についての説明を記載してしまった。「認証情報が盗まれた場合に不正利用されるため」など理由を回答しなければいけなかった。

  回答すべきことを勘違いした理由は「仕様の改善の方針案」に引っ張られてしまったからだと思われる。