https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm1_qs.pdf
以下のおすすめ問題の解説となります。
良書。
[身元確認]
Bさんは、身元確認についてどのような方法があるのかを調査したところ、”犯罪による収益の移転防止に関する法律施行規則”(以下、犯収法規則という)に規定があることが分かった。犯収法規則の規定を参考にすると、銀行側が利用者の身元確認を行い、かつ、銀行がその記録を保存していることをL社が確認すれば、Qサービスの(a:アカウント作成)時の身元確認を実施したとみなせるとBさんは考え、C課長に相談した。
C課長は、表1の銀行口座とのひも付けでは、キャッシュカードの所持が確認されず、暗証番号で照合されるだけなので、攻撃者が他人の氏名でアカウント作成を行い、①他人の銀行口座とのひも付けを行うリスクを低減するためには、L社が表1の(a:アカウント作成)時に身元確認を実施する必要があると指摘した。
L社には対面で身元確認できる店舗がなく、身元確認の手続を郵送で行うことになると、利用者がQサービスを利用するまでに時間が掛かる。Bさんは、身元確認をオンラインで行う方法をC課長に相談した。
C課長は、将来、Qサービスには利用者間の送金機能などが追加されることを考慮し、金融庁が公表している”犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要”の個人顧客向けの本人確認方法が採用できると考えた。そこで、表2のように整理してBさんに説明した。
次は、表2についてのBさん及びC課長の会話である。
Bさん:項番5のセキュリティが強固だと思うので、項番5をQサービスに導入する場合の本人確認方法について詳しく教えてください。
C課長:マイナンバーカードには、地方公共団体情報システム機構が発行した署名用電子証明書などが格納されている。Qサービスの利用者は、NFC機能のあるスマートフォンを利用して、マイナンバーカードを読み取り、署名用電子証明書のパスワードをQアプリに入力する。入力されたパスワードが正しい場合、マイナンバーカード内の(d)でQサービスの申込用のデータにデジタル署名し、当該デジタル署名、当該データ本体、署名用電子証明書をQサービスに送付する。Qサービス側で、デジタル署名が利用者本人のものであり、改ざんされていないことをQサービスの利用者の(e)を用いて確認した後、地方公共団体情報システム機構に(f)を確認する。
Bさん:項番5の方法では、利用者がNFC機能のあるスマートフォンとマイナンバーカードを用意する必要があるのですね。それならば、項番1の方が、利用者にとっては利用しやすい方法と言えそうです。項番1では、注意点はありますか。
C課長:項番1では事前に準備した他人の画像を用いられないようにする必要がある。
Bさん:どうすればよいでしょうか。
C課長:完全な対策はないが、政府が犯収法規則の改正において意見公募を実施した際の”警察庁及び共管各省庁の考え方”に記載されている方法を採用すると、”Qアプリが毎回ランダムな数字を表示し、利用者が(g)して、直ちに送信することによって、L社では提出された画像が事前に準備されたものではないことを確認する”という方法が考えられる。この方法で身元確認しよう。
Bさん:分かりました。
下線①について、攻撃者はどのようにして他人の銀行口座とのひも付けを成功させるか。その方法を二つ挙げ、それぞれ30字以内で述べよ
漏えいしている口座と暗証番号を悪用する方法/口座番号と暗証番号をだまして聞き出し、悪用する方法
①口座番号とキャッシュカードの暗証番号を知る方法を2つ方法を上げればよい
口座番号とキャッシュカードの暗証番号はオレオレ詐欺などで本人からだまして聞き取るか、情報流出などで得た情報を利用することになる
C:写真
写真付き本人確認書類の画像。
d:秘密鍵 e:公開鍵
マイナンバーカード内の(d)でQサービスの申込用のデータにデジタル署名し、当該デジタル署名、当該データ本体、署名用電子証明書をQサービスに送付する。Qサービス側で、デジタル署名が利用者本人のものであり、改ざんされていないことをQサービスの利用者の(e)を用いて確認した後、地方公共団体情報システム機構に(f)を確認する。
ここに入る前にこの話の背景を整理する
電子署名を利用するパターンを問われていることがわかる。
Qサービス側は事前にもらった公開鍵で利用者かどうかを確認することが行われているので、署名の概念を知っていれば、秘密鍵・公開鍵が入ることがわかる
f:署名用電子証明書の有効性・期限
署名用電子証明書をQサービスに送付する。Qサービス側で、デジタル署名が利用者本人のものであり、改ざんされていないことをQサービスの利用者の(e)を用いて確認した後、地方公共団体情報システム機構に(f)を確認する。
署名用電子証明書の有効性・期限を確認し、切れていないことを確認することは公式でも案内ありますね
g:ランダムな数字を紙に書き、その紙と一緒に容貌や本人確認書類を撮影
完全な対策はないが、政府が犯収法規則の改正において意見公募を実施した際の”警察庁及び共管各省庁の考え方”に記載されている方法を採用すると、”Qアプリが毎回ランダムな数字を表示し、利用者が(g)して、直ちに送信することによって、L社では提出された画像が事前に準備されたものではないことを確認する”という方法が考えられる。
に対する方法である。2chで昔やっていた方法を思い出せるかどうかかな。IDと今スレッドの画像を撮って送るようなやり方。あれに近い気がします。