応用情報技術者 2014年春期午前2 問39

問題文

認証局が侵入され、攻撃者によって不正なWebサイト用のディジタル証明書が複数発行されたおそれがある。どのディジタル証明書が不正に発行されたものか分からない場合、誤って不正に発行されたディジタル証明書を用いたWebサイトにアクセスしないために利用者側で実施すべき対策はどれか。

選択肢

ア：Webサイトのディジタル証明書の有効期限が過ぎている場合だけアクセスを中止する。

イ：Webサイトへのアクセスログを確認し、ドメインがWhoisデータベースに登録されていない場合だけアクセスする。

ウ：当該認証局のCP(Certificate Policy)の内容を確認し、セキュリティを考慮している内容である場合だけアクセスする。

エ：ブラウザで当該認証局を信頼していない状態に設定し、Webサイトのディジタル証明書に関するエラーが出た場合はアクセスを中止する。（正解）

認証局が侵入され不正証明書発行の恐れがある場合の利用者側対策【午前2 解説】

要点まとめ

結論：不正な証明書を使ったWebサイトへのアクセスを防ぐには、ブラウザで認証局を信頼しない設定にし、証明書エラー時はアクセスを中止することが重要です。
根拠：認証局が侵害されると正規の証明書と見分けがつかない偽証明書が発行されるため、証明書の有効期限やCP確認だけでは不正を見抜けません。
差がつくポイント：利用者側での信頼設定と証明書エラーの厳格な扱いが、攻撃を防ぐ最も確実な対策である点を理解しましょう。

正解の理由

選択肢エは、ブラウザの設定で当該認証局を信頼しない状態にし、証明書に関するエラーが発生した場合にアクセスを中止する方法を示しています。
認証局が侵害されて不正な証明書が発行された場合、正規の証明書と見分けがつかないため、利用者側で認証局自体を信頼しない設定にすることで不正証明書の利用を防止できます。
証明書エラーが出た際にアクセスを中止することで、偽サイトへの接続を未然に防げるため、最も安全な対策です。

よくある誤解

有効期限切れだけで判断すると、期限内の不正証明書を見逃す恐れがあります。
Whois情報の有無はドメインの正当性を示すものの、証明書の正当性とは直接関係ありません。
CPの内容確認は利用者側で困難かつ不正証明書の検出には不十分です。

解法ステップ

認証局が侵害され不正証明書が発行された可能性を理解する。
不正証明書は正規の証明書と見分けがつかないことを認識する。
利用者側でできる対策として、認証局の信頼設定を見直す必要があると判断する。
ブラウザで当該認証局を信頼しない設定にし、証明書エラー時はアクセスを中止する方法を選ぶ。
他の選択肢の不十分さを確認し、最も安全な選択肢を選ぶ。

選択肢別の誤答解説

ア：有効期限切れだけで判断すると、期限内の不正証明書を見逃すため不十分です。
イ：Whois情報の有無はドメインの登録状況を示すだけで、証明書の正当性とは無関係です。
ウ：CP（Certificate Policy）は認証局の運用方針であり、利用者が内容を確認しても不正証明書の検出には役立ちません。
エ：正解。認証局を信頼しない設定にし、証明書エラー時にアクセスを中止することで不正証明書の利用を防げます。

補足コラム

認証局（CA）が侵害されると、攻撃者は正規のCAの秘密鍵を使って偽の証明書を発行可能になります。これにより、利用者は偽サイトを正規サイトと誤認しやすくなります。
このようなリスクに対処するため、ブラウザやOSは証明書失効リスト（CRL）やオンライン証明書状態プロトコル（OCSP）を利用して証明書の有効性を確認しますが、CA自体の信頼設定を見直すことも重要です。

FAQ

Q: 証明書の有効期限が切れていれば安全ですか？
A: いいえ。期限内でも不正に発行された証明書は存在するため、有効期限だけで安全とは言えません。

Q: Whois情報を確認すれば偽サイトを見分けられますか？
A: Whois情報はドメイン登録情報であり、証明書の正当性とは直接関係がないため、偽サイト判別には不十分です。

Q: CPの内容を確認することに意味はありますか？
A: CPは認証局の運用方針を示す文書であり、利用者が確認しても不正証明書の検出には役立ちません。

関連キーワード: ディジタル証明書、認証局、証明書エラー、不正証明書、ブラウザ設定、セキュリティ対策

← 前の問題へ次の問題へ →

\ せっかくなら /

応用情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！

応用情報技術者 2014年 春期 午前2 問39

問題文

選択肢