Webアプリ対策
情報セキュリティマネジメント試験「CSRF対策」の問題
利用者がログイン中のサイトに対し、攻撃者の用意した別ページから意図しない要求を送らせる攻撃を防ぐ方法はどれか。
ア利用者のパスワードを暗号化した状態で保存し漏えいした際の解読を著しく困難にしておく。
イ要求ごとに秘密のトークンを埋め込み正当な画面に由来する要求かを検証する。
ウ通信量を監視し過大なアクセスを遮断して停止を防ぐ。
エ端末を隔離環境で起動し不審な挙動を観察してから判定する。
正解
イ.要求ごとに秘密のトークンを埋め込み正当な画面に由来する要求かを検証する。
CSRF対策では正規画面が発行した推測困難なトークンを要求に含め、サーバ側で照合する。攻撃者の外部ページは正しいトークンを知り得ないため、不正要求を排除できる。
?選択肢ごとの解説
ア ×パスワード暗号化は漏えい対策で、外部からの不正要求を防ぐCSRF対策とは目的が異なる。
イ ○CSRF対策では正規画面が発行した推測困難なトークンを要求に含め、サーバ側で照合する。攻撃者の外部ページは正しいトークンを知り得ないため、不正要求を排除できる。
ウ ×通信量監視は可用性確保で、要求の正当性を検証するCSRF対策とは仕組みが異なる。
エ ×隔離実行はマルウェア解析向けで、Webの不正要求を防ぐCSRF対策とは分野が異なる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a3-w1-0010
