スゴ技

平成24年度秋基本情報技術者試験【問4】

Blog：IT・情報処理BLOG | 2013.01.07

おめでとうございます。ソフトⅡコース担当　ブログのおにーさまこと高橋です。

学校のトップページ「NEWS&TOPICS」にあるように、12月27日（木）午後～1月6日（日）までの間、学校は休みでした。今日から学校は開いていますので、書類の申請や提出などで来てもらって大丈夫です。

さて、しばらく空きましたが、平成24年度秋期基本情報技術者試験午後解説の続きです。今回は問4です。問題はIPAのサイトをご覧ください。

設問1
SQLインジェクションとは、WEBサイトの入力項目等にSQLの命令またはその一部を入力することにより、意図しないSQL文を実行させて、不正にデータを入手することです。簡単な例として、氏名を入力すると出席番号、氏名、成績を表示するページがあるとします。裏側では、次のSQL文が実行されるとします。

SELECT 出席番号 , 氏名 , 成績 FROM 成績表 WHERE 氏名 = ‘入力した文字列‘

例えば、「神戸電子」と入力すると

SELECT 出席番号 , 氏名 , 成績 FROM 成績表 WHERE 氏名 = ‘神戸電子‘

となり、神戸電子の成績が得られます。ところが、「神戸電子’ OR ‘神戸電子’ = ‘神戸電子」と入力されると

SELECT 出席番号 , 氏名 , 成績 FROM 成績表 WHERE 氏名 = ‘神戸電子’ OR ‘神戸電子’ = ‘神戸電子‘

となってしまいます。この条件は、下線部が真なので、常に真です。すべての学生の氏名と成績が入手できてしまいます。解答はイです。

設問2
メールアドレスが漏えいしたということは、他のデータも漏えいしていると考えられます。問題にも、クレジットカード情報が漏えいしている可能性があるとあります。会員に事故対応をしてもらうとすれば、クレジットカードが不正利用されないようにしてもらうことです。クレジットカードの停止や、番号変更を依頼します。解答はエです。

アについては、今回はログイン処理に問題があるということがわかっているので、個々のパスワードを複雑にしても解決しません。ウについては、今後の事故発生時の解決のための対策にはなるが、今回の事故対応にはなりません。

設問3
今回はログイン処理の問題でSQLインジェクション攻撃を受け、漏えいを起こしたわけで、負荷上昇が問題だったわけではありません。従って解答はウです。

設問4
外部からの攻撃なので、職務や端末の分離を行っても解決しません。機密保持に関する誓約も同様です。保険は、問題が発生した後の対応としては役立つかもしれませんが、攻撃そのもののを食い止めることはできません。aの解答はオとなります。

不正アクセスが発生しても、漏えいした情報を不正に使われないためには暗号化しておくことが有効です。また、分析や追跡にはログが必要です。bの解答はイ、cの解答はアです。