本文へスキップ
お問い合わせ

FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER

基本情報技術者の問題解説

情報セキュリティ 難しい fe_b_v89_sec_006

問題

A社の会員サイトでは,未ログイン状態で発行したセッションIDをログイン後も使い続けている。さらにURL中のパラメタでセッションIDを受け取る旧仕様も残っていた。攻撃者は,被害者に特定のセッションID付きURLを踏ませ,そのIDのままログインさせることを狙っている。

対策として,最も適切なものはどれか。

  1. ログイン画面に注意書きを増やす。
  2. ログイン成功時にセッションIDを再発行し,URLでのセッションID受渡しを廃止してCookieにはSecure,HttpOnly,SameSite属性を設定する。
  3. セッションIDを短くする。
  4. ログイン後のトップページをランダムに変える。
  5. パスワードの最小文字数だけを長くする。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

正解と解説

正解:ログイン成功時にセッションIDを再発行し,URLでのセッションID受渡しを廃止してCookieにはSecure,HttpOnly,SameSite属性を設定する。

正解:イ

セッション固定では,攻撃者が知るセッションIDをログイン後も使い続けることが問題である。ログイン成功時にIDを再発行することが中心対策になる。

URLでの受渡しは漏えいしやすいため廃止し,Cookie属性も併用する。注意書きやパスワード強化だけでは固定IDを無効化できない。

Hardでの見抜き方:セッション固定では,ログイン前から攻撃者が知っているIDをログイン後も使うことが危険である。ログイン成功時のID再発行と,URLでIDを渡さない設計をセットで考える。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲

公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。

公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。

参考範囲: 2026年度現行科目B・シラバスVer.9.x参考

この問題から学習する 同じ分野の問題を見る

RELATED

関連問題

情報セキュリティ A社は従業員300名の商社で,在宅勤務を進めるため,グループウェアSaaSへ社外の自宅PCから直接ログインできるよう設定を変更した。ログインには… 標準 情報セキュリティ A社の管理画面では,担当者IDと期間を入力して売上明細を検索する。担当者IDだけは数値チェックしているが,期間の条件は入力文字列を連結してSQL… 難しい 情報セキュリティ A社のFAQサイトでは,管理者が回答本文を登録し,利用者画面に表示している。本文には一部HTMLタグを許可しているが,属性値やURLの検査が不十… 難しい 情報セキュリティ A社の経費精算システムでは,ログイン済み利用者が承認ボタンを押すと承認IDを含むリクエストが送信される。CookieにはSameSite属性を設… 難しい 情報セキュリティ A社の画像取得APIでは,利用者が指定したURLをサーバが取得する。プライベートIPアドレスを拒否していたが,外部ドメインからリダイレクトさせる… 難しい