https://www.sc-siken.com/pdf/31_haru/pm1_2.pdf
以下のおすすめ問題の解説となります。
良書。
【 認証方式の強化】
情報システム部長からメールサービスPの認証方式の強化について、次の2点が要求された。
要求1 U社以外の無線LANに接続したとしても手口Gを防ぐこと
要求2 手口Gに限らず、偽サイトにアクセスしてしまったときにフィッシングの手口によるメールサービスPへの不正アクセスを防ぐこと
Tさんが調査したところ、メールサービスPは、単体ではパスワード認証にしか対応していないが、認証連携の機能があることが分かった。認証連携機能を使えば、メールサービスPにアクセスしようとしたときに、他のID管理サービスにリダイレクトされ、そこで認証が行われ、認証に成功すると、メールサービスPにアクセスできるようになる。そこで、X社が提供するクラウドサービス型ID管理システム(以下、IDaaS-Xという)が対応している、より強力な認証方式を利用することにした。IDaaS-Xでは、認証サーバXを使って利用者を認証する。
IDaaS-Xが対応している、より強力な認証方式には、次の2種類がある。
- ワンタイムパスワード(以下、OTPという)認証方式
TOTP(Time-based One-Time Password algorithm)用のスマートフォンアプリケーションプログラム(以下、TOTPアプリという)を利用した 認証方式 - パスワードレス認証方式
WebAuthn(Web Authentication API)対応のWebブラウザ及び生体認証対応のオーセンティケータを搭載したデバイスを利用した認証方式
Tさんは二つの認証方式について、要求1及び要求2を満たすことができるかを検討した。
Tさんは、まずOTP認証方式を検討した。IDaaS-XにおけるTOTPアプリ登録処理を図3に、OTP認証方式の認証処理を図4に示す。
OTP認証方式を利用した場合、ログインには時刻によって変化するOTPも必要になるので、パスワードが窃取された場合でも不正ログインを防ぐことが可能となる。しかし、③OTP認証方式を利用し、かつ、登録処理を正しく行ったとしても、要求2を満たすことができないおそれがある。
次にTさんは、パスワードレス認証方式を検討した。IDaaS-Xにおけるオーセンティケータ登録処理を図5に、認証処理を図6に示す。
④パスワードレス認証方式を利用すれば、要求2を満たすことができると考えられた。
Tさんは、検討結果を情報システム部長に報告した。情報システム部長は、海外拠点QにおけるメールサービスPへのパスワードレス認証方式の導入を、Tさん及びYさんに指示した。
海外拠点で従業員に貸与しているスマートフォンとノートPCにはオーセンティケータが搭載されていたので、パスワードレス 認証方式を速やかに導入することができた。
U社では、他の海外拠点でのクラウドサービスについても、同様の方式を導入することにした。
(1):OTPの入力を要求し、OTPを認証サーバXに中継する処理
③OTP認証方式を利用し、かつ、登録処理を正しく行ったとしても、要求2を満たすことができないおそれがある
要求2 手口Gに限らず、偽サイトにアクセスしてしまったときにフィッシングの手口によるメールサービスPへの不正アクセスを防ぐこと
設問はずっとMITM攻撃のことを指している。中継サーバを経由した際にどのように情報があれば、攻撃可能かと質問している。
アプリから認証サーバに対して、送信している情報かつ認証情報は3つある。
利用者ID,パスワード、OTPである。OTPを攻撃者は取得していないので、OTPを取得し、中継サーバから認証サーバXに送信して認証結果を得れればよい
(2):cウ dア eエ fイ
c,dに入るものは、デジタル署名である署名Lをどうやって作ることができるかを知っていればよい。署名Lは公開鍵Kなどを含むデジタル署名である。選択肢がKかAを示しているが、Kとした場合は自分で自分の証明をしているので、署名にならない。逆にAであれば、信頼された認証局も利用しているので、デジタル署名となりうる。
cとdはデジタル署名の仕組みを考えれば、よい。
秘密鍵で署名し、公開鍵で検証するという流れになる
このあたりはこちらの参考書で流れが記載されている。
認証のフローになります。登録処理の際に、IDcごとに公開鍵・秘密鍵を作成していることが記されているので、認証する際はこの公開鍵・秘密鍵を利用することになります。署名Lを作成するのは秘密鍵Kを用いて、検証は公開鍵Kとなります
(3):認証サーバXでオリジンbとオリジンsの一致を確認しているから
④パスワードレス認証方式を利用すれば、要求2を満たすことができると考えられた。
OTP認証とパスワードレス認証の差分を確認すればよい。
オリジンbとオリジンsの一致を認証サーバXが確認しているので、別の第3社のWebにアクセスされることはない。