問題一覧
1
暗号文と秘密鍵が危たい化しても暗号文を複合できない鍵交換の概念。
PFS
2
TCPポート番号389。ディレクトリのアクセスに使用されるプロトコル。
LDAP
3
サーバ証明書が失効していないかをCAに問い合わせる、RFC6960で規定されているプロトコル。
OCSP
4
メールサーバに蓄積されたメールを取りに行く、TCPポート番号110番のプロトコル。
POP3
5
メールサーバにメールを蓄積管理できる、メールの一覧を取得する、TCPポート番号143番のプロトコル
IMAP4
6
エンベロープの送信者メールアドレスを指定するためのコマンド
MAIL FROM
7
複数のサーバを分散配置し、ユーザは最も近いサーバからコンテンツを受け取ることサービスの事。
CDN
8
HTML内のスクリプトからcookieへのアクセスを禁止するcookieに付与する属性
HttpOnly属性
9
HTTPリクエストのWedブラウザの種類やバージョン番号を通知する為のフィールド
User-Agentヘッダフィールド
10
攻撃を受けたPCのHDDをファイル単位ではなくセクタ単位でコピーする意義は? セクタ単位だと削除された○○○○の内容を調べる事ができ、空きセクタの情報から○○○○を復元する事ができるため。
ファイル
11
暗号文一致攻撃とは? 同一の○○○が2度現れた時、平文に関する情報を得られる攻撃。
暗号ブロック
12
ディレクトリサービスを提供するサーバのことです。 システム上の資源や登録利用者の情報をまとめて一元的に管理することが可能です。
LDAPサーバ
13
認可コード横取り攻撃への対策を目的とし、RFC7636 で定義されているOAuth2.0拡張仕様
PKCE
14
パソコンに感染したウイルスが、ブラウザとHTTP/HTTPS通信の中間に入り込み、 不正なポップアップ画面を表示させ、通信を盗聴しデータを改ざんする攻撃
MITB攻撃
15
ネットワーク上で発生するログを収集し、監視・分析・通知する技術のことです。 異常なアクティビティやセキュリティインシデントを検知することで、企業や組織のセキュリティを維持し、脅威に対処
SIEM
16
日本語で共通脆弱性タイプ一覧と言う。 情報セキュリティの分野において、ソフトウェアやハードウェアなどのシステムに存在する脆弱性や弱点を組織的かつ一元的に識別・整理するためのフレームワーク
CWE
17
特定のドメイン名を別のドメイン名に関連付けるために使用されるDNSレコード
CNAME
18
fは認可コード gはアクセストークン CSRF攻撃の対策としてFサービスがstateパラメータを使う場合どのような処理を行うか
IDaaSリダイレクト(2)でstateパラメータを付与して送信し、認可コード(7)で送られてきたstateパラメータと比較する
19
fは認可コード gはアクセストークン CSRF攻撃を対策するため、FサービスのスマホアプリとIDaaSとの間でPKCEを使うとする。その際、スマホアプリはどの通信にどの情報を付与するか。
認可要求(3)に検証コードをハッシュ化し生成したチャレンジコードを付与し送信し、認可コード送信時に検証コードを付与し送信する。
20
自社から送信されるメールがフィッシングメールだと判断されないために、S/MIMEやPGPではなく、送信ドメイン認証に対応するだけで良い理由
自社ドメインから送信されたメールアドレスであることを自社で保証するから
21
登録更新処理にCSRF脆弱性が存在し、登録情報を改ざんされる可能性がある。CSRFトークンを使用して対策をする場合、Webアプリでどのような手順で処理を行うか、リクエクトとレスポンスという字句を用いて答えよ
登録更新処理を実行する直前のレスポンスの画面にCSRFトークンを格納し、リクエストで返送されたCSRFトークンを検証する
22
FQDNを書き換えて、攻撃者がアクセスできないサイトにアクセスする攻撃
サーバサイトリクエストフォージェリ
23
ディレクトリトラバーサル脆弱性に対し、固定のディレクトリを指定し、さらにファイル名を取り出す処理が必要である。 なぜファイル名を取り出す必要があるのか。
入力パラメータに「:/」などが作られると意図しないパスが形成されるため
24
Cookieの保持する期限の日時を持つ属性
Expires属性
25
Cookieの保持する期間(秒数)を保持する属性
Max-Age属性
26
データ抹消処理の一つである暗号化消去では、データは暗号化された状態で保存される。(1)を抹消することによって、上書きする消去処理と比較して、処理が極めて(2)に実行できることや、OSから(3)も消去できると言った利点がある。
暗号鍵, 高速, アクセス不可能なデータ
27
CDNを悪用して、SNIフィールドに無害なドメイン名を指定し、実際にアクセスしたいドメインをHTTP Hostヘッダに設定することで検閲を回避する手法
ドメインフロンティング
28
TLS接続先サーバ名をアルファベット3文字で
SNI
29
SameSite属性のStrict
クロスサイト要求ではCookieを送信しない
30
SameSite属性のLax
トップレベルのナビゲーションの時のみCookieを送信する
31
SaemSite属性のNone
クロスサイトでもCookieを送信する
32
SSH認証方式2つ
公開鍵認証方式, パスワード認証方式
33
攻撃者はクライアント側からサーバ側へ送信された認証データを盗み取り、サーバへのログインを試みる。サーバから認証データの送信を要求されたら盗み取ったものをそのまま送信し、本人に成り代わってアクセスを試みる攻撃
リプレイ攻撃
34
電子政府における調達のために参照するべき暗号リストを選定している組織
CRYPTREC
35
LANに繋がっているコンピュータの電源を遠隔でつける機能
Wake on LAN
36
Wake on LANを使うために送る起動パケットは何に続けて何を16回繰り返したものか。
FF:FF:FF:FF:FF:FF, MACアドレス
37
OSに搭載されたディスク暗号化機能を3つ
パスワード方式, スマートカード方式, TPM方式
38
OpenID Connectは認可?認証?
両方
39
アクセスログを確認し、GETメソッドを使用して実行されたOSコマンドの内容は分かったが、POSTメソッドを使用して実行されたOSコマンドの内容がわからなかった。それはなぜか。
POSTメソッドで送信したボディ部はアクセスログに記録されないため
40
一般権限の利用者が、一時的にrootアカウントの権限を得るためのコマンド
sudoコマンド
41
SQLの組み立てにおいて、SQL文のひな形の中に変数の場所を示す?記号を置く手法がある。この?記号はなんと言うか。また、この?記号に値を割り入れる処理をなんと言うか。
プレースホルダ, バインド
42
HTTPレスポンスのヘッダに”Content-Security-Policy:script-src’self’を追加すると、Wedブラウザに対して指定したスクリプトファイルの実行だけを許可する。 実行されるスクリプトファイルはどのようなものか。
URLと同じオリジンのスクリプトファイル
43
Webサービスにおける認証を行うOIDCのクライアントのことをなんと呼ぶか
RP
44
IDaaSのTLSクライアント認証を用いてPCの利用者認証を行う。その際、プライベートCAを利用する場合、どのような準備が必要か。PCおよびルート証明書という字句を用いてこたえよ
PCのクライアント証明書を発行するプラベートCAの証明書をIDaaSに信用されたルート証明書として登録する。
45
マイナンバーで利用者認証を行う。 サービス側に当該デジタル署名、当該データ本体、署名用電子証明書が送られてきた。デジタル証明書が改ざんされていないことを確認した後、地方公共団体情報システム機構に○○○を確認する。
署名用電子証明書の有効性
46
サービスにログインした状態を維持しながらアプリでの不正利用を防ぐための機能を追加する。何を追加すれば良いか。
アプリ起動時に、PINコードで利用者を認証する機能
47
中継する通信のログを元にクラウドサービスの利用情報の可視化を行う機能
CASB
48
ソフトウェアを構成する部品(ライブラリ、モジュールなど)とその依存関係、バージョン情報などをリスト化することにより、セキュリティリスクを可視化し、脆弱性管理やライセンス管理などを効率的に行うことができる管理法をなんと呼ぶか。
SBOM
49
入力時の予測文字列の表示やパスワードをPCに記憶させてログイン時に自動入力させる機能
オートコンプリート
50
メモリ上のデータを書き出す処理
メモリダンプ
51
ハードディスク上のデータを制御情報などと共にファイル化したもの
ディスクイメージ
52
FWで許可されているプロトコルを用いて社内からC&Cサーバに接続し、その応答通信に指令を埋め込むことで、C&Cサーバ側から指令を受け取る方式をとる通信のこと
コネクトバック通信
53
DNS通信の中に指令を埋め込んだり、窃取した情報を埋め込んでC&Cサーバと不正通信する手口
DNSトンネリング