設問1
a:イ
b:ア
設問2
(1)
1つ目
フィッシングで口座番号及び暗証番号を入手して紐づける
2つ目
ソーシャルエンジニアリングで口座番号及び暗証番号を入手する
(2)
c:顔写真
(3)
d:秘密鍵
e:公開鍵
(4)
f:本人情報が正しいか
-
回答理由
マイナンバーカードの情報が正しいかを確認するために地方公共団体情報システム機構に確認する必要があると思った
-
正答との差
マイナンバーカードで本人を証明するものは秘密鍵であり、受け取りては証明書の公開鍵で検証する。しかし、この証明書がオレオレ証明書などで信憑性がない場合は、本人であるという根拠が乏しいので、電子証明書が間違いないか発行した地方公共団体情報システム機構に確認する必要があった
上記認識は間違いである。
オレオレ証明書ではシステムが証明書を受け取った時点で確認するルートCAがシステムに登録されていないので信用されないので公開鍵で検証するところまで進まない
ですから、CRLやOCSPに記載されるということは連続で5回連続マイナンバーカードのパスワード入力に失敗したかなにかで追加されるということ
(5)
g:ランダムな数字を入力すると起動されるカメラモードで顔写真を撮影
設問3
(1)
利用者がいない間に攻撃者が不正利用する
(2)
決済機能のたびにパスワードを入力させる