情報セキュリティスペシャリスト試験 午前Ⅱ 過去問のうち、
頻出頻度の高い問題を25問ピックアップしました。

午前Ⅱを少しでも得点アップさせたい方は是非ともご活用ください。

SC H27 秋 午前Ⅱ 問2

特定の認証局が発行した CRLに関する記述のうち,適切なものはどれか。

  • CRLには,失効したディジタル証明書に対応する秘密鍵が登録される。
  • CRLには,有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。
  • CRLは,鍵の漏えい,破棄申請の状況をリアルタイムに反映するプロトコルである。
  • 有効期限切れで失効したディジタル証明書は,所有者が新たなディジタル証明書を取得するまでの間,CRL に登録される。
  • 解答を見る
    正解:イ

    CRLは、有効期限内に失効されたディジタル証明書のシリアル番号のリストで、証明書の有効性を検証するために使われます。

    CRL には失効された証明書のシリアル番号、CRL の発行者名、更新日、次回更新日などが記載されます。有効期限切れとなった証明書はCRLには記載されません。

  • CRLに、ディジタル証明書に対応する秘密鍵は登録されません。
  • 正しい記述です。
  • このようなプロトコルは存在しません。そもそもCRLはプロトコルではありません。
  • 有効期限切れで失効した証明書はCRLには記載されません。

  • SC H27 春 午前Ⅱ 問2

    IEEE802.1X で使われる EAP-TLS によって実現される認証はどれか。

  • CHAP を用いたチャレンジレスポンスによる利用者認証
  • あらかじめ登録した共通鍵によるサーバ認証と、時刻同期のワンタイムパスワードによる利用者認証
  • ディジタル証明書による認証サーバとクライアントの相互認証
  • 利用者 ID とパスワードによる利用者認証
  • 解答を見る
    正解:ウ

    EAP-TLS(Extensible Authentication Protocol Transport Layer Security)
    IEEE802.1X等で使われる認証方式「EAP」の実装方式の一つ。
    EAP-TLSは、ディジタル証明書によるやり取りでサーバとクライアントの相互認証を行う方式である。


    SC H27 春 午前Ⅱ 問5

    サイドチャネル攻撃の説明はどれか。

  • 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから, 攻撃対象の機密情報を得る。
  • 企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり, 不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミの中から探し出す。
  • 通信を行う2者間に割り込んで, 両者が交換する情報を自分のものとすり替えることによって, 気づかれることなく盗聴する。
  • データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって, データベースを改ざんする。
  • 解答を見る
    正解:ア

  • サイドチャネル攻撃の説明。
    サイドチャネル攻撃は、暗号処理装置を物理的手段(処理時間や装置から発する電磁波など)で観察・測定することで、装置内部の機密情報を取得する攻撃手法です。「タイミング攻撃」や「電力解析攻撃」、「電磁波解析攻撃」などの種類がある。
  • スキャビンジング(ごみ箱あさり)の説明。
  • 中間者攻撃(Man-in-the-middle攻撃)の説明。
  • SQLインジェクションの説明。

  • SC H26 春 午前Ⅱ 問11

    テンペスト(TEMPEST)攻撃を説明したものはどれか。

  • 故意に暗号化演算を誤動作させて正しい処理結果との差異を解析する。
  • 処理時間の差異を計測し解析する。
  • 処理中に機器から放射される電磁波を観測し解析する。
  • チップ内の信号線などに探針を直接当て,処理中のデータを観測し解析する。
  • 解答を見る
    正解:ウ

    テンペスト攻撃とは、電磁波解析攻撃のこと。
    ディスプレイなどから放射される微弱な電磁波を傍受し、情報を盗み見る攻撃です。
    対策としては、電磁波を遮断する製品を使用したり、電磁波を遮断可能な部屋に機器を設置することで対抗します。


    SC H26 春 午前Ⅱ 問23

    SOA(Service Oriented Architecture)の説明はどれか。

  • Webサービスを利用するためのインタフェースやプロトコルを規定したものである。
  • XMLを利用して, インターネットに存在するWebサービスを検索できる仕組みである。
  • 業務機能を提供するサービスを組み合わせることによって, システムを構築する考え方である。
  • サービス提供者と委託者との間でサービスの内容, 範囲及び品質に対する要求水準を明確にして, あらかじめ合意を得ておくことである。
  • 解答を見る
    正解:ウ

    SOA(サービス指向アーキテクチャ)
    各業務プロセスを構成しているソフトウェアを「サービス」としてとらえ、このサービスを集合させることで、システムを構築する手法。

  • HTTP(HyperText Transfer Protocol)の説明。
  • UDDI(Universal Description, Discovery and Integration)の説明。
  • SOA(Service Oriented architecture)の説明。
  • SLA(Service Level Agreement)の説明。

  • SC H25 秋 午前Ⅱ 問3

    100人の送受信者が共通鍵暗号方式で, それぞれの秘密に通信を行うときに必要な共通鍵の総数は幾つか。

  • 200
  • 4,950
  • 9,900
  • 10,000
  • 解答を見る
    正解:イ

    共通鍵暗号方式の鍵の総数の求め方:
    n(n-1)/2

    n=100なので、100(100 – 1)/2 = 4,950 となる。


    SC H25 秋 午前Ⅱ 問8

    DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき, "通過禁止"に設定するものはどれか。

  • ICMP
  • TCP及びUDPのポート番号53
  • TCPのポート番号21
  • UDPのポート番号123
  • 解答を見る
    正解:ア

  • pingは、ICMPのネットワーク診断機能です。
  • TCP及びUDPのポート番号53は、DNSで使用するポートです。
  • TCPのポート番号21は、FTPの制御用ポートです。FTPはデータ転送用(TCPポート番号20)と制御用(TCPポート番号21)の2つのポートを使用します。
  • UDPのポート番号123は、NTPで使用するポートです。

  • SC H25 秋 午前Ⅱ 問9

    共通鍵暗号の鍵を見つけ出す, ブルートフォース攻撃に該当するものはどれか。

  • 1組の平文と暗号文が与えられたとき, 全ての鍵候補を一つずつ試して鍵を見つけ出す。
  • 平文と暗号文と鍵の関係を代数式に表して数学的に鍵を見つけ出す。
  • 平文の一部分の情報と暗号文の一部分の情報との間の統計的相関を手掛かりに鍵を見つけ出す。
  • 平文を一定量変化させたときの暗号文の変化から鍵を見つけ出す。
  • 解答を見る
    正解:ア

    ブルートフォース攻撃とは、総当たり攻撃のこと。
    考えられる全ての組合せを試して暗号解読する手法です。


    SC H25 秋 午前Ⅱ 問11

    ルートキット(rootkit)を説明したものはどれか。

  • OSの中核であるカーネル部分の脆弱性を分析するツール
  • コンピュータがウイルスやワームに感染していないかをチェックするツール
  • コンピュータやルータのアクセス可能な通信ポートを外部から調査するツール
  • 不正侵入してOSなどに組み込んだものを隠蔽するツール
  • 解答を見る
    正解:エ

    ルートキットの由来は、UNIXからきています。

    攻撃者であるクラッカーが、システムのあらゆる操作権限を持つ「root」ユーザの権限を奪った後も、不正侵入に気づかれないようするための「キット」ということから、ルートキットと呼ばれるようになりました。

    現在では、UNIXに限らず、不正侵入時にOSなどに組み込んだものを隠蔽するツール群のことを指す用語として使われています。


    SC H25 秋 午前Ⅱ 問12

    送信元を詐称した電子メールを拒否するために, SPF(Sender Policy Framework)の仕組みにおいて受信側が行うことはどれか。

  • Resent-Sender:, Resent-From:, Sender:, From: などのメールヘッダ情報の送信者メールアドレスを基に送信メールアカウントを検証する。
  • SMTPが利用するポート番号25の通信を拒否する。
  • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する。
  • 付加されたディジタル署名を受信側が検証する。
  • 解答を見る
    正解:ウ

  • Sender ID の説明。
  • OP25B(Outbound Port 25 Blocking)の説明。
  • SPF(Sender Policy Framework)の説明。
  • S/MIME の説明。

  • SC H25 秋 午前Ⅱ 問13

    迷惑メールの検知手法であるベイジアンフィルタリングの説明はどれか。

  • 信頼できるメール送信元を許可リストに登録しておき, 許可リストにないメール送信元からの電子メールは迷惑メールと判定する。
  • 電子メールが正規のメールサーバから送信されていることを検証し, 迷惑メールであるかどうかを判定する。
  • 電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に, 迷惑メールであるかどうかを判定する。
  • 利用者が振り分けた迷惑メールから特徴を学習し, 迷惑メールであるかどうかを統計的に解析して判定する。
  • 解答を見る
    正解:エ

  • メールのホワイトリストの説明。
  • 送信ドメイン認証の説明です。送信ドメイン認証の技術には、SPF、Sender ID、DKIMなどがあります。
  • DSBL(Distributed Sender Blackhole List)の説明。DSBLとは、電子メールの第三者中継を許可しているメールサーバ等のIPアドレスを登録しているブラックリストです。
  • ベイジアンフィルタリングの説明です。
    ベイズ理論という手法を用いて、過去の迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定します。

  • SC H25 秋 午前Ⅱ 問14

    DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。

  • キャッシュサーバとコンテンツサーバに分離し, インターネット側からキャッシュサーバに問合せできないようにする。
  • 問合せがあったドメインに関する情報をWhoisデータベースで確認する。
  • 一つのDNSレコードに複数のサーバのIPアドレスを割り当て, サーバへのアクセスを振り分けて分散させるように設定する。
  • 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。
  • 解答を見る
    正解:ア

    DNS ampとは、DNSキャッシュサーバの再帰的な問合せを悪用したDDoS攻撃の一種で、パケットを増幅(amplify)させることから、DNS ampと呼ばれています。

    DNSキャッシュサーバがインターネット側から利用できる状態の場合、踏み台にされる危険性があります。対応策としては、DNSのキャッシュサーバとコンテンツサーバを分離し、インターネット側からキャッシュサーバに問合せできないようにします。
    ちなみにコンテンツサーバは、自分が管理しているゾーン情報のみを応答するDNSサーバのことです。


    SC H25 秋 午前Ⅱ 問15

    SQLインジェクション対策について, Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策として, ともに適切なものはどれか。

    Webアプリケーションの
    実装における対策
    Webアプリケーションの
    実装以外の対策
    Webアプリケーション中でシェルを起動しない。 chroot環境でWebサーバを実行する。
    セッションIDを乱数で生成する。 SSLによって通信内容を秘匿する。
    バインド機構を利用する。 データベースのアカウントのもつデータベースアクセス権限を必要最小限にする。
    パス名やファイル名をパラメタとして受け取らないようにする。 重要なファイルを公開領域に置かない。

     

    解答を見る
    正解:ウ

    • OSコマンドインジェクションの対策。
    • セッションハイジャックの対策。
    • SQLインジェクションの対策。
    • ディレクトリトラバーサルの対策。

    SQLインジェクション対策は、午後試験でも問われます。選択肢がなくても答えられるようにしておきたい。


    SC H25 春 午前Ⅱ 問4

    図のような構成と通信サービスのシステムにおいて, Webアプリケーションの脆弱性対策としてネットワークのパケットをキャプチャしてWAFによる検査を行うとき, WAFの設置場所として最も適切な箇所はどこか。ここで, WAFには通信を暗号化したり, 復号したりする機能はないものとする。

    SC H25 春 午前Ⅱ 問4

  • a
  • b
  • c
  • d
  • 解答を見る
    正解:ウ

    WAF(Web Application Firewall)は、従来のファイアーウォールでは守ることができないクロスサイトスクリプティングやSQLインジェクションといったWebアプリケーションに対する攻撃を防御する製品です。

    製品によっては、HTTPSパケットの暗号化・復号を行うことが可能ですが、問題文中に「WAFには通信を暗号化したり, 復号したりする機能はないものとする。」と記載されているため、HTTPS通信のaとbの設置場所は不適切となります。パケットがWebサーバを経由する前にWAFを配置すべきなので、HTTP通信のcが最も適切な箇所となります。


    SC H25 春 午前Ⅱ 問6

    SMTP-AUTHにおける認証の動作を説明したものはどれか。

  • SMTPサーバに電子メールを送信する前に, 電子メールを受信し, その際にパスワード認証が行われたクライアントのIPアドレスは, 一定時間だけ電子メールの送信が許可される。
  • クライアントがSMTPサーバにアクセスしたときに利用者認証を行い, 許可された利用者だけから電子メールを受け付ける。
  • サーバは認証局のディジタル証明書をもち, クライアントから送信された認証局の署名付きクライアント証明書の妥当性を確認する。
  • 利用者が電子メールを受信する際の認証情報を秘匿できるように, パスワードからハッシュ値を計算して, その値で利用者認証を行う。
  • 解答を見る
    正解:イ

    SMTP-AUTHとは、SMTPにユーザ認証機能を追加したもの。

  • POP before SMTPの説明。
  • SMTP-AUTHの説明。
  • クライアント認証の説明。
  • APOPの説明。

  • SC H25 春 午前Ⅱ 問12

    企業のDMZ上で1台のDNSサーバをインターネット公開用と社内用で共有している。このDNSサーバが, DNSキャッシュポイズニングの被害を受けた結果, 直接引き起こされ得る現象はどれか。

  • DNSサーバのハードディスク上のファイルに定義されたDNSサーバ名が書き換わり, 外部からの参照者が, DNSサーバに接続できなくなる。
  • DNSサーバのメモリ上にワームが常駐し, DNS参照元に対して不正プログラムを送り込む。
  • 社内の利用者が, インターネット上の特定のWebサーバを参照しようとすると, 本来とは異なるWebサーバに誘導される。
  • 社内の利用者間で送信された電子メールの宛先アドレスが書き換えられ, 正常な送受信ができなくなる。
  • 解答を見る
    正解:ウ

    DNSキャッシュポイズニング
    ドメイン名とホスト名を対応づけるDNSサーバの情報を書き換え、利用者を本来とは異なるWebサーバに誘導する攻撃手法。


    SC H25 春 午前Ⅱ 問13

    ウイルスの検出手法であるビヘイビア法を説明したものはどれか。

  • あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し, 同じパターンがあれば感染を検出する。
  • ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき, 検査時に不整合があれば感染を検出する。
  • ウイルスの感染が疑わしい検査対象を, 安全な場所に保管されている原本と比較し, 異なっていれば感染を検出する。
  • ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して, 感染を検出する。
  • 解答を見る
    正解:エ

  • パターンマッチング法の説明。
  • チェックサム法の説明。
  • コンペア法の説明。
  • ビヘイビア法の説明。

  • SC H25 春 午前Ⅱ 問14

    DoS攻撃の一つであるSmurf攻撃の特徴はどれか。

  • ICMPの応答パケットを大量に発生させる。
  • TCP接続要求であるSYNパケットを大量に送信する。
  • サイズが大きいUDPパケットを大量に送信する。
  • サイズが大きい電子メールや大量の電子メールを送信する。
  • 解答を見る
    正解:ア

  • Smurf攻撃の説明。
  • SYN flood攻撃の説明。
  • UDP flood攻撃の説明。
  • メールボムの説明。

  • SC H25 春 午前Ⅱ 問16

    スパムメールの対策であるDKIM (DomainKeys Identified Mail) の説明はどれか。

  • 送信側メールサーバでディジタル署名を電子メールのヘッダに付加して, 受信側メールサーバで検証する。
  • 送信側メールサーバで利用者が認証されたとき, 電子メールの送信が許可される。
  • 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて, メール送信元のIPアドレスを検証する。
  • ネットワーク機器で, 内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する。
  • 解答を見る
    正解:ア

  • DKIMの説明。
  • SMTP-AUTHの説明。
  • Sender IDの説明。
  • OP25Bの説明。

  • SC H24 秋 午前Ⅱ 問18

    DNSSECに関する記述として,適切なものはどれか。

  • DNSサーバへのDoS攻撃を防止できる。
  • IPsecによる暗号化通信が前提となっている。
  • 代表的なDNSサーバの実装であるBINDの代替として使用する。
  • ディジタル署名によってDNS応答の正当性を確認できる。
  • 解答を見る
    正解:エ

    DNSSEC(DNS Security Extensions)は、DNSのセキュリティ拡張方式。
    DNSのレコードに公開鍵暗号方式によるディジタル署名を付加し、応答を受け取った側で、そのディジタル署名を検証する仕組み。ディジタル署名を検証することで、レコードの送信者の正当性と応答が改ざんされてないことを保証できる。
    DNSキャッシュポイズニングの対策に有効。


    SC H24 春 午前Ⅱ 問4

    米国NISTが制定した,AES における鍵長の条件はどれか。

  • 128ビット,192ビット,256ビットから選択する。
  • 256ビット未満で任意に指定する。
  • 暗号化処理単位のブロック長より32ビット長くする。
  • 暗号化処理単位のブロック長より32ビット短くする。
  • 解答を見る
    正解:ア

    AES(Advanced Encryption Standard)とは、旧標準暗号方式DESの安全性が低下したため、米国の標準技術研局(NIST)が後継として採用した新標準暗号方式です。

    AESについては、以下を押さえておきましょう。

    • 米国標準の共通鍵暗号方式
    • 暗号や復号が高速である(これは共通鍵方式のメリット)
    • 使用する鍵長は128ビット・192ビット・256ビットの3つの中から選択できる。


    SC H24 春 午前Ⅱ 問15

    SMTP-AUTHを使ったメールセキュリティ対策はどれか。

  • ISP管理下の動的IPアドレスからの電子メール送信について,管理外ネットワークのメールサーバへSMTP通信を禁止する。
  • PCからの電子メール送信について,POP接続で利用者認証済の場合にだけ許可する。
  • 通常のSMTPとは独立したサブミッションポートを使用して,PCからメールサーバへの電子メール送信時の認証を行う。
  • 電子メール送信元のサーバについてDNSの逆引きが成功した場合にだけ,電子メール受信を許可する。
  • 解答を見る
    正解:ウ

  • OP25B(Outbound Port 25 Blocking)の説明。
  • POP before SMTPの説明。
  • SMTP-AUTHを使ったメールセキュリティ対策です。
  • DNSの逆引きとは、IPアドレスからドメイン名に変換すること。SMTP-AUTHとは関係ないので、誤り。
  • 【解説】
    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。

    サブミッションポートの利用には、「SMTP-AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。


    SC H23 秋 午前Ⅱ 問5

    ISP"A"管理下のネットワークから別のISP"B"管理下の宛先へSMTPで電子メールを送信する。
    電子メール送信者がSMTP-AUTHを利用していない場合,スパムメール対策OP25Bによって遮断される電子メールはどれか。

  • ISP"A"管理下の固定IPアドレスから送信されたが,受信者の承諾を得ていない広告の電子メール
  • ISP"A"管理下の固定IPアドレスから送信されたが,送信元IPアドレスがDNSで逆引きできなかった電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由して送信された電子メール
  • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由せずに送信された電子メール
  • 解答を見る
    正解:エ

    一般的に電子メールの送信には、SMTP(25番ポート)を利用しています。

    SMTPには、ユーザー認証機能がないため、スパムメールを送信する業者(スパマー)がたくさんいます。スパマーは、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続しようとします。

    そこで多くのISPでは、スパムメール対策として、OP25B(Outbound Port 25 Blocking)を導入しています。

    OP25Bとは、ISP提供のメールサーバを経由せず、外部のSMTPサーバ(25番ポート)へ直接接続しようとするパケットをブロックすることです。

    よって、正解はエです。

    ちなみに、正当な利用者が、ISP提供のメールサーバを経由せず、メール送信先のメールサーバに直接接続する場合は、ポート番号25の代わりに、サブミッションポート(587番ポート)を使用します。サブミッションポートの利用には、「SMTP AUTH」による認証が必要となるため、正当な利用者のみがメール送信を行うことができます。


    SC H23 秋 午前Ⅱ 問12

    ダウンローダ型ウイルスがPCに浸入した場合に,インターネット経由でほかのウィルスがダウンロードされることを防ぐ有効な対策はどれか。

  • URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する。
  • インターネットから内部ネットワークに向けた要求パケットによる不正浸入行為をIPSで破棄する。
  • スパムメール対策サーバでインターネットからのスパムメールを拒否する。
  • メールフィルタで他サイトへの不正メール発信を遮断する。
  • 解答を見る
    正解:ア

    ダウンローダ型ウイルス
    インターネット経由で他のウイルスをダウンロードして実行するタイプのウイルス。
    ダウンローダー型ウイルス単独でおかしな挙動はしないので、ウイルス対策ソフトでも検出されにくい。
    URLフィルタを用いてインターネット上の不正Webサイトへの接続を遮断する対策が有効。


    SC H23 秋 午前Ⅱ 問15

    IPsecのAHに関する説明のうち,適切なものはどれか。

  • IPパケットを暗号化する対象部分によって,トランスポートモード,トンネルモードの方式がある。
  • 暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで,期間を過ぎると新しいデータに更新される。
  • 暗号化アルゴリズムを決定し,暗号化鍵を動的に生成する鍵交換プロトコルで,暗号化通信を行う。
  • データの暗号化は行わず,SPI,シーケンス番号,認証データを用い,完全性の確保と認証を行う。
  • 解答を見る
    正解:エ

    AH(Authentication Header、認証ヘッダ)
    通信データの認証機能を持ち、改ざんを検知できる。
    データの暗号化までは行わないため、盗聴の防止はできない。