戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2017年 秋期 97


問題文

次のような認証方式の特徴に関する記述として、適切なものはどれか。
・利用者は認証用のマトリクス表における位置、順序情報だけを記憶する。 ・マトリクス表には認証の都度ランダムに数字が割り当てられる。 ・利用者は記憶した位置に表示されている数値を順にパスワードとして入力する。 ・正しい位置に表示されている数値の入力が確認できた場合に認証が成功する。
ITパスポート 2017年 秋期  問97の問題画像

選択肢

位置、順序情報は定期的に変更しなくてもよい。
位置、順序情報は人に教えても安全である。
盗聴されたパスワード利用によるなりすましの防止に有効である。(正解)
バイオメトリクス認証の一種である。

🔒 解説は解答すると表示されます

マトリクス表を利用した認証方式の特徴【ITパスポート 解説】

正解の理由

図の仕組みは、サービス側が毎回「マトリクス(格子状の表)」にランダムな数字を割り当て(これがチャレンジ:challenge)、利用者はあらかじめ覚えている「位置と順序」に対応するセルの数字を読み取って入力します。つまり、表示される数字は毎回変わるため、同じ入力(数字列)が次回も同じ意味を持つとは限りません。これにより、通信路で盗聴(=第三者が入力された数字を傍受すること)されても、その数字をそのまま使って次回認証を行おうとしても成功しません。したがって、選択肢の中では (盗聴されたパスワード利用によるなりすましの防止に有効である)が適切です。
(補足用語)
  • 認証:サービスが「この人が本当にその利用者か」を確かめる仕組み。
  • 盗聴:通信や入力を第三者が覗き見ること。
  • チャレンジ・レスポンス(challenge-response):毎回変わる問い(チャレンジ)に対し利用者が正しい答え(レスポンス)を返す仕組み。

解法ステップ

  1. 問題文の動作を一文で整理する:毎回ランダムな数字がマトリクスに割り当てられ、それに基づき利用者が数字を入力する方式。
  2. 「ランダムに割り当てられる」ことが何を防ぐかを考える:毎回出力が変わる → 盗聴された情報の再利用(再生攻撃、replay attack)を困難にする。
  3. 選択肢と照らし合わせる:
    • 再利用防止に関係する選択肢が該当するか確認する → が合致。
    • 他選択肢(位置を変更不要・人に教しても安全・バイオメトリクス)と整合性を取る。
  4. 最終的に、動作の性質(ワンタイム性・チャレンジ・レスポンス)から最も自然に当てはまるものを選ぶ。

選択肢別の誤答解説

  • ア: 位置、順序情報は定期的に変更しなくてもよい。
    解説:位置と順序は利用者が覚える「秘密情報」です。長期間同じにしておくと、その秘密が漏れた際にずっと使われ続けてしまいます。したがって定期的に見直す(または安全に管理する)ことが望ましく、「変更しなくてよい」は誤りです。
  • イ: 位置、順序情報は人に教えても安全である。
    解説:位置・順序はパスワードに相当する秘密です。人に教せばその人がなりすまし可能になるため安全とは言えません。友人や第三者に教えるのはNGです。
  • : 盗聴されたパスワード利用によるなりすましの防止に有効である。
    解説:毎回マトリクス上の数字が変わるため、盗聴した数字列(その時だけ有効なレスポンス)を次回使っても正解にならない仕組みです。つまり、盗聴による再利用(replay)を防ぐ効果があります。
  • エ: バイオメトリクス認証の一種である。
    解説:バイオメトリクス認証とは指紋や顔、静脈など「身体的特徴」を使う認証です。本方式は人が覚えた位置情報を使う知識ベースの認証であり、バイオメトリクスではありません。

よくある誤解

  1. 「表示される数字がランダムだから完全に安全」
    理由:ランダム表示は再生攻撃に強いですが、ユーザの位置・順序(秘密)が漏れれば攻撃可能です。また、表示と入力を直接見られる「肩越し盗み見」や、画面を丸ごと撮影されると危険です。つまり「完全」ではありません。
  2. 「盗聴=キーロガーで数字を取られても問題ない」
    理由:キーロガーなどでそのセッションの入力数字を盗まれても、次回同じ数字を入力しても成功しません(ランダム性により)。しかし攻撃者がそのとき表示されていたマトリクス自体や利用者の位置情報を同時に取得した場合は別です。

補足コラム

この方式は「チャレンジ・レスポンス」型の一例です。チャレンジ側(サーバや表示装置)が毎回変化する問い(今回ならマトリクス上の数字配列)を提示し、利用者は秘密(位置・順序)に基づく答えを返します。ワンタイムパスワード(OTP:One-Time Password)と同じように「一回限りの有効性」を作る点で類似していますが、OTPがサーバ側で生成・検証される数列そのものを使うのに対し、マトリクス方式は利用者の「記憶している位置」が鍵になっている点が異なります。
実際の運用では、次の点を組み合わせると安全性が高まります。
  • 位置・順序を定期的に変える(あるいはユーザに変更を促す)。
  • マトリクスの表示を安全な画面で行う(スクリーンショット禁止や視線検出などの対策)。
  • 必要に応じて生体認証やワンタイムコードと組み合わせる(多要素認証)。

FAQ

Q1. この方式の名前は何ですか?
A1. 一般には「マトリクス認証」「グリッド認証」「チャレンジ・レスポンス型マトリクス認証」などと呼ばれます。製品名だと「PassMatrix」など同様の方式名が使われることがあります。
Q2. 盗聴に強いなら、スマホやPCのキーロガー対策は不要ですか?
A2. 不要ではありません。本方式は「そのセッションの入力の再利用」を防ぎますが、キーロガーが位置情報を含む秘密自体を抜き取ったり、表示そのものを盗む場合は危険です。多層防御が重要です。
Q3. バイオメトリクスと比べてどちらが良いですか?
A3. 用途により異なります。バイオメトリクス(指紋・顔認証など)は便利ですが、身体情報が漏洩すると取り替えられない問題があります。マトリクス方式は変更可能な「秘密」を使うため、使い分けや併用(多要素認証)が有効です。

関連キーワード: マトリクス認証、チャレンジレスポンス、ワンタイムパスワード、グリッドカード、肩越し盗み見対策、再生攻撃防止
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について