平成28年春期試験問題 午前問41

Webアプリケーションのセッションが攻撃者に乗っ取られ,攻撃者が乗っ取ったセッションを利用してアクセスした場合でも,個人情報の漏えいなどの被害が拡大しないようにするために,Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として,最も適切なものはどれか。

  • Webブラウザとの間の通信を暗号化する。
  • 発行済セッションIDをCookieに格納する。
  • 発行済セッションIDをURLに設定する。
  • パスワードによる利用者認証を行う。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
セッションハイジャック等によって、ログイン中のセッションが第三者に乗っ取られても、URLやCookieに格納されているセッションIDが正規のものである限り、Webアプリケーション側では「攻撃者によって乗っ取られたリクエスト」なのか「正規ユーザーによるリクエスト」なのかの区別がつきません。Webアプリケーション側で、このような不正処理を想定した対策がなされていないと、それを悪用した攻撃者によって正規ユーザーの意に反した処理が実行されてしまう恐れがあります。
特に「ログイン後に決済処理等の重要な処理を行うサイト」などでは、攻撃による被害が大きくなるため、セッション管理の堅牢性を高める必要があります。それに加えてセッションが乗っ取られた場合の不正処理を防ぐために、送金や購入確定、パスワード変更、秘密情報の表示、退会処理などの重要なリクエストをサーバに送信する前には、その利用者が意図したリクエストであるかどうかを識別する仕組みを設ける必要があります。

重要リクエストの送信直前に行われるパスワード認証には、現在のセッションの相手が正当なユーザーであることを確認し、セッションハイジャック等から生じた不正なリクエストを除外する効果があります。したがって適切な対策は「エ」です。

Pagetop