応用情報技術者 2016年 春期 午前2 問41
問題文
Webアプリケーションのセッションが攻撃者に乗っ取られ、攻撃者が乗っ取ったセッションを利用してアクセスした場合でも、個人情報の漏えいなどの被害が拡大しないようにするために、Webアプリケーションが重要な情報を Webブラウザに送信する直前に行う対策として、最も適切なものはどれか。
選択肢
ア:Webブラウザとの間の通信を暗号化する。
イ:発行済セッションIDを Cookie に格納する。
ウ:発行済セッションIDを URL に設定する。
エ:パスワードによる利用者認証を行う。(正解)
Webアプリケーションのセッション乗っ取り対策【午前2 解説】
要点まとめ
- 結論:重要情報送信前にパスワード認証を再度行うことで、乗っ取られたセッションの悪用を防げます。
- 根拠:セッション乗っ取り後も本人確認を強化すれば、不正アクセスによる被害拡大を抑制可能です。
- 差がつくポイント:通信暗号化やセッションIDの管理は基本対策ですが、乗っ取り後の被害拡大防止には追加認証が必須です。
正解の理由
選択肢エの「パスワードによる利用者認証を行う」は、攻撃者が乗っ取ったセッションを使っても、重要情報送信前に本人確認を再度求めるため、不正アクセスを防止できます。これにより、セッション乗っ取りによる被害拡大を抑制できるため最も適切です。
よくある誤解
通信の暗号化は盗聴防止に有効ですが、乗っ取られたセッションの悪用を防ぐものではありません。セッションIDの管理方法も重要ですが、乗っ取り後の本人確認強化が不可欠です。
解法ステップ
- 問題文から「セッション乗っ取り後の被害拡大防止」が目的と分かる。
- 通信暗号化やセッションID管理は乗っ取り防止や盗聴防止であり、乗っ取り後の対策ではないと理解。
- 重要情報送信直前に追加認証を行う方法が最も効果的と判断。
- 選択肢の中で追加認証に該当する「パスワード認証」を選択。
選択肢別の誤答解説
- ア: 通信暗号化は盗聴防止に有効ですが、乗っ取られたセッションの悪用を防げません。
- イ: セッションIDをCookieに格納するのは一般的ですが、乗っ取り後の被害拡大防止には不十分です。
- ウ: URLにセッションIDを設定すると盗聴や漏えいリスクが高まり、逆効果です。
- エ: パスワード認証を行うことで、乗っ取られたセッションの悪用を防止できるため正解です。
補足コラム
セッション乗っ取り対策には、セッションIDの適切な管理(CookieのSecure属性やHttpOnly属性の設定)、通信の暗号化(HTTPS)、および重要操作時の多要素認証や再認証が効果的です。特に重要情報の送信直前に再認証を求めることで、乗っ取り被害の拡大を防止できます。
FAQ
Q: なぜ通信暗号化だけでは不十分なのですか?
A: 通信暗号化は盗聴を防ぎますが、既に乗っ取られたセッションの悪用を防ぐことはできません。
A: 通信暗号化は盗聴を防ぎますが、既に乗っ取られたセッションの悪用を防ぐことはできません。
Q: セッションIDをURLに設定するのはなぜ危険ですか?
A: URLはブラウザ履歴やリファラに残りやすく、第三者に漏れるリスクが高いためです。
A: URLはブラウザ履歴やリファラに残りやすく、第三者に漏れるリスクが高いためです。
関連キーワード: セッション乗っ取り、再認証、セッション管理、Webセキュリティ、多要素認証
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!