ITパスポート 2014年 秋期 問51
問題文
次の認証方式の特徴に関する記述として、適切なものはどれか。
・利用者にはあらかじめ乱数表が渡されている。
・乱数表に印刷された数字は利用者ごとに異なる。
・システムが要求する乱数表の座標位置に記載された数字をパスワードとして入力する。(座標位置は毎回異なる。)
・正しいパスワードの入力が確認できた場合に認証が成功する。

選択肢
ア:システムが要求する乱数表の座標位置が同じでも、パスワードは毎回異なる。
イ:知識による認証の一種である。
ウ:盗聴したパスワード利用による、なりすましの防止に有効である。(正解)
エ:乱数表を他人に渡しても安全である。
🔒 解説は解答すると表示されます
認証方式の乱数表(座標指定)に関する問題【ITパスポート 解説】
正解の理由
提示された方式は「利用者ごとに異なる乱数表(ランダムな数字が印刷された表)」を用い、システムが毎回ランダムに指定する座標(例:B1, C2, D3, E4)に書かれた数字を順に入力させるものです。これはシステム側がその都度異なる「問い(チャレンジ)」を出し、利用者が表の該当数字で「応答(レスポンス)」する、いわゆるチャレンジ・レスポンス方式です。チャレンジが毎回変わるため、盗聴(通信を聞き取ること)で得た過去の応答をそのまま再利用しても認証に成功しない点で、盗聴によるなりすましの防止に有効です。したがって正しい選択肢は ウ になります。
(用語補足)
- 乱数表(らんすうひょう):ランダムな数字を並べた表。紙やカードに印刷されることが多いです。
- 認証(にんしょう):相手が本当にその人であるか確認すること。
- チャレンジ(challenge):認証側が出す問い(ここでは座標)。
- レスポンス(response):利用者が答える値(ここでは座標にある数字)。
- ワンタイムパスワード(OTP: One-Time Password):一度しか使えないパスワードのこと。乱数表方式は「使い捨て」の性質を持ちます。
解法ステップ
問題図の例で実際にパスワードを作る手順を示します。
- システムが要求した座標を確認する(例:B1, C2, D3, E4)。
- 利用者が自分の乱数表で、それぞれの座標に書かれた数字を読む。
- B1 = 24、C2 = 64、D3 = 41、E4 = 31
- 指定された順に数を連結してパスワードとする。
- 24 || 64 || 41 || 31 = 24644131
- このパスワードが正しければ認証成功となる。
この手順から分かるように、チャレンジが変われば出力されるパスワードも変わります(ただし同じ座標が再度要求されたら同じ数字になります)。
選択肢別の誤答解説
-
ア: システムが要求する乱数表の座標位置が同じでも、パスワードは毎回異なる。
→ 誤り。乱数表の値自体は固定(印刷物)なので、同じ座標が要求された場合は同じ数字になります。座標が毎回変わるためパスワードは通常毎回変わりますが、「座標が同じならパスワードも同じ」である点を見落とすと間違えます。 -
イ: 知識による認証の一種である。
→ 誤り。「知識による認証」はパスワードや暗証番号のように「利用者が知っている情報(something you know)」に依存する方式です。乱数表方式は物理的に持っている表(something you have)に依存する要素が強く、システム側のチャレンジに対して表の該当値を答える「所持+応答」の方式です。よって純粋な知識認証とは言えません。 -
ウ: 盗聴したパスワード利用による、なりすましの防止に有効である。
→ 正しい。チャレンジ(座標)が毎回変わるため、過去に盗聴した応答(パスワード)を再利用しても別のチャレンジには対応できず、認証は通りません。 -
エ: 乱数表を他人に渡しても安全である。
→ 誤り。乱数表自体を他人に渡してしまうと、その人は正しい数字を答えられるため認証を不正に通過できます。乱数表は「秘密に保管する」必要があります。
よくある誤解
-
「盗聴されても絶対に安全」ではない
- 単発の盗聴(過去の応答を記録される)に対しては安全性が高いですが、乱数表そのものを盗まれたりコピーされた場合は危険です。また、同時にチャレンジが分かる状態での中間者攻撃(MITM:通信を仲介してリアルタイムでやり取りを傍受・改変する攻撃)には弱い場合があります。
-
「これは完全に知識認証」だと思い込むミス
- 乱数表は「持っていること(所持)」が重要です。パスワードのように頭で覚えるだけの方式とは性質が異なります。
-
「座標が毎回違う=表の同じ場所の数字も変わる」と誤認
- 座標がランダムに指定されるだけで、表の内容は変わりません。つまり同じ座標が出れば同じ数字が返ってきます。
補足コラム
乱数表方式は昔からあるシンプルな二要素認証(2要素認証:何か知っているもの+何か持っているもの)に近い運用ができます。一方で近年は次のような方式もよく使われます。
-
時刻同期型ワンタイムパスワード(TOTP: Time-based One-Time Password)
→ サーバと端末が時間を共有し、一定時間ごとに変わるコードを生成します。スマホアプリ(Authenticator)で一般的です。 -
HMACベースのワンタイムパスワード(HOTP)
→ 生成カウンタに基づいて変わるコードを使う方式。
乱数表方式はオフラインでも使える利点(スマホや電池不要)がありますが、表を紛失・盗難されたときのリスクや、表の再利用回数に限界がある点に注意が必要です。
FAQ
Q1: 盗聴で一度だけパスワードを取られたらどうなる?
A1: その一度だけの応答は将来の別のチャレンジには使えないため、単純な盗聴(過去の応答を録る行為)に対しては安全です。ただし乱数表が漏れたり、チャレンジと応答をリアルタイムで傍受して即座に不正利用される場合は別です。
A1: その一度だけの応答は将来の別のチャレンジには使えないため、単純な盗聴(過去の応答を録る行為)に対しては安全です。ただし乱数表が漏れたり、チャレンジと応答をリアルタイムで傍受して即座に不正利用される場合は別です。
Q2: 乱数表は紙で渡すのが普通ですか?
A2: 紙やカード、印刷されたトークン形式で渡すことが多いです。電子化してアプリで表示する場合もありますが、その場合は別のセキュリティ設計(暗号化・端末保護など)が必要です。
A2: 紙やカード、印刷されたトークン形式で渡すことが多いです。電子化してアプリで表示する場合もありますが、その場合は別のセキュリティ設計(暗号化・端末保護など)が必要です。
Q3: これは多要素認証になりますか?
A3: 単独では「所持(乱数表)」に近いので一要素に見えますが、運用次第では知識(PIN)と組み合わせて真の二要素認証にできます。例:乱数表+暗証番号。
A3: 単独では「所持(乱数表)」に近いので一要素に見えますが、運用次第では知識(PIN)と組み合わせて真の二要素認証にできます。例:乱数表+暗証番号。
関連キーワード: 乱数表、チャレンジレスポンス、ワンタイムパスワード、リプレイ攻撃、認証方式、多要素認証、トークン方式、TOTP、HOTP

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

