情報処理安全確保支援士 令和4春 午後1 問3 No.2

設問2 【身元確認】について、(1)〜(5)に答えよ

(1) 本文中の下線①について、攻撃者はどのようにして他人の銀行口座との紐付けを成功させるか。その方法を二つ挙げ、それぞれ30字以内で述べよ。

解答:漏洩している口座番号と暗証番号を悪用する方法/口座番号と暗証番号を騙して聞き出し、悪用する方法

表1より、銀行口座との紐付けには、「口座番号」・「キャッシュカードの暗証番号」が必要であることが記載されています。

この情報を仕入れた場合、銀行口座の持ち主のふりをしてアカウントを作成すれば銀行口座との紐付けが可能です。


(2)表2の(c)に入れる適切な字句を、5字以内で答えよ。

解答:写真


一般的な解答が求められています。

表2の1~2より、(c)は「容貌の画像」と合わせて提出するものであることから、写真付きの本人確認書類を用いる必要があるでしょう。

(3)本文中の(d)、(e)に入れる適切な字句を、解答群から選び、記号で答えよ。

解答:(d)秘密鍵、(e)公開鍵

解答群より、解答候補は、共通鍵、公開鍵、秘密鍵のどれかになります。

(d)はQサービス利用者のマイナンバーカード内の鍵であり、ディジタル署名に利用すると記載されています。

ディジタル署名に使うのは秘密鍵です。

ディジタル署名を受け取ったQサービス側がQサービス利用者の公開鍵で検証することで、署名として成り立ちます。

よって、(d)には秘密鍵、(e)には公開鍵が入ります。


(4)本文中の(f)に入れる適切な字句を、15字以内で述べよ。

解答:署名用電子証明書の有効性/署名用電子証明書の失効の有無

(3)で確認したディジタル署名によって、Qサービスの申込用のデータが利用者本人のものであり、改ざんされていないことを確認しましたが、それはマイナンバーカードが正当であるという前提のもとに成り立ちます。

マイナンバーカードの有効期限が消えていたり、偽物だったら、マイナンバーカード内の情報が改竄されていなくても、本人確認で不正と判断する必要があります。


マイナンバーカードの正当性を確認するには、マイナンバーカードの発行元である地方公共団体情報システム機構に対して、発行した署名用電子証明書の有効性を確認し、検証する必要があります。


(5)本文中の(g)に入れる適切な字句を、40字以内で述べよ。

解答:そのランダムな数字を紙に書き、その紙と一緒に容貌や本人確認書類を撮影



事前に準備した他人の画像を利用されるというリスクへの対策として、「Qアプリが毎回ランダムな数字を示し、利用者が(g)して、直ちに送信する」と記載されています。

発行したランダムな数字を画像に反映して、Qサービスに送信することで、事前に準備した画像を悪用されないようにします。