ホーム > 情報処理安全確保支援士試験 > 2017年秋期

情報処理安全確保支援士試験 2017年秋期午前2 問14

攻撃者が, Web アプリケーションのセッションを乗っ取り、そのセッションを利用してアクセスした場合でも、個人情報の漏えいなどに被害が拡大しないようにするために, 重要な情報の表示などをする画面の直前で Web アプリケーションが追加的に行う対策として, 最も適切なものはどれか。

ア：Web ブラウザとの間の通信を暗号化する。

イ：発行済セッションID を Cookie に格納する。

ウ：発行済セッション ID を HTTPレスポンスボディ中のリンク先の URI のクエリ文字列に設定する。

エ：パスワードによる利用者認証を行う。（正解）

解説

Webアプリケーションのセッション乗っ取り対策【午前2 解説】

要点まとめ

結論：重要画面の直前で再度パスワード認証を行うことが最も効果的な追加対策です。
根拠：セッション乗っ取りが起きても、再認証があれば不正利用を防げるため被害拡大を抑制できます。
差がつくポイント：通信暗号化やセッションIDの管理は基本対策であり、乗っ取り後の被害防止には再認証が必須です。

正解の理由

攻撃者がセッションを乗っ取った場合、通信の暗号化やセッションIDの管理だけでは不正アクセスを完全に防げません。重要情報の表示直前にパスワード認証を追加することで、乗っ取られたセッションを使ったアクセスでも本人確認が必要となり、被害の拡大を防止できます。したがって「エ: パスワードによる利用者認証を行う」が最も適切な対策です。

よくある誤解

通信の暗号化やCookieの利用だけでセッション乗っ取り被害を防げると誤解しがちですが、乗っ取られた後の不正利用には再認証が不可欠です。

解法ステップ

問題文から「セッション乗っ取り後の被害拡大防止」が目的と読み取る。
通信暗号化やセッションIDの管理は乗っ取り前の防止策であることを理解する。
乗っ取り後に本人確認を強化する方法を考える。
追加認証（パスワード再入力）が最も効果的な対策と判断する。

選択肢別の誤答解説

ア: 通信暗号化は盗聴防止に有効ですが、乗っ取られたセッションの不正利用は防げません。
イ: セッションIDをCookieに格納するのは一般的ですが、乗っ取りリスクは残ります。
ウ: セッションIDをURIのクエリ文字列に含めると、URL漏洩によるリスクが増大し推奨されません。
エ: パスワード再認証により、乗っ取られたセッションの不正利用を防止できるため正解です。

補足コラム

セッション管理の基本は、セッションIDの安全な生成・管理と通信の暗号化です。しかし、これらは乗っ取り前の防止策であり、乗っ取られた後の被害拡大を防ぐには重要操作時の再認証や多要素認証の導入が効果的です。特に金融や個人情報を扱うサービスでは、重要操作前の追加認証が標準となっています。

FAQ

Q: なぜ通信暗号化だけでは不十分なのですか？
A: 通信暗号化は盗聴を防ぎますが、既に乗っ取られたセッションIDを使った不正アクセスは防げません。

Q: セッションIDをURIに含めるのはなぜ危険ですか？
A: URIはブラウザ履歴やログに残りやすく、第三者に漏れるリスクが高まるため推奨されません。

関連キーワード: セッション乗っ取り, 再認証, セッション管理, Webアプリケーションセキュリティ, パスワード認証

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2017年 秋期 午前2 問14

解説