試験問題の悪文さ

私は試験が苦手だ。何せ長文と来たら分かりづらい文章のオンパレードなのである。
それを何とか読み取って、ああかな、こうかな、と推定しながら解いていくのは、できなくもないけれども非常に面倒で煩わしい。

例えば次のような感じだ。

----
令和元年　秋季　情報処理安全確保支援士　パーフェクトラーニング過去問題集　Ｐ４６

問８

　インターネットバンキングサービスを提供するWebサイトを利用する際に、トランザクション署名の機能をもつハードウェアトークンを利用する。次の処理を行うとき、（４）によってできることはどれか。ここで、ハードウェアトークンは利用者ごとに異なり、本人だけが使用する。

[処理]
（１）ハードウェアトークンに振込先口座番号と振込金額を入力し、メッセージ認証符号（MAC）を生成する。
（２）Webサイトの振込処理画面に振込先口座番号、振込金額及び（１）で生成されたMACを入力し、Webサイトに送信する。
（３）Webサイトでは、本人に発行したハードウェアトークンと同じ処理手順によって振込先口座番号と振込金額からMACを生成する。
（４）Webサイトでは、（２）で入力されたMACと、（３）で生成したMACを比較する。

----

うーん本当分かりづらい。
私が書き直すなら次のようになる。

----
問８

＃ハードウェアトークンとトランザクション署名の利用によって実装可能な機能は何か：

　インターネットバンキングサービスを提供するWebサイトを次の条件で利用するシーンを想定する。
　・トランザクション署名の機能をもつハードウェアトークンを利用する。
　・ハードウェアトークンは利用者ごとに異なり、本人だけが使用する。

　この時、次の文中の（１）から（４）まで順に処理を行うとき、（４）によってできることは何か。
　

[処理]
（１）ハードウェアトークンに振込先口座番号と振込金額を入力し、メッセージ認証符号（MAC）を生成する。
（２）Webサイトの振込処理画面に振込先口座番号、振込金額及び（１）で生成されたMACを入力し、Webサイトに送信する。
（３）Webサイトでは、本人に発行したハードウェアトークンと同じ処理手順によって振込先口座番号と振込金額からMACを生成する。
（４）Webサイトでは、（２）で入力されたMACと、（３）で生成したMACを比較する。

----

ジャミングと、不正なアクセスポイント設置による攻撃の解説

平成３１年度春期での午前Ⅱの問７で、特に名前がついていない攻撃の紹介があった。

問題分の解説では「特に名前はついていないがジャミングだろう」とのことである。

問７：

回答選択肢エ

無線ＬＡＮのアクセスポイントを不正に設置し、チャネル間の干渉を発生させることによって、通信を妨害する攻撃

解説：

特に名称はついていませんが、干渉によって邪魔をするので、ジャミングと言えます。
実際には、チャネル間の干渉を発生させる攻撃よりも、不正なアクセスポイントに接続させて通信を傍受する攻撃の可能性のほうが高いと言えます。

ショルダーハッキングとは何か

機器操作中の人の肩越しや横からＩＤパスワードを盗み見て取得する攻撃方法。

選択平文攻撃とはなにか

攻撃者が選択したある平文を何らかの方法で正規のユーザーに暗号化させ、元の平文と得られた暗号文から暗号鍵を推測し、同じ暗号鍵を用いて作られた暗号を解読しようとすること。

こんな攻撃方法あるとかまじかい。

サイドチャネル攻撃とは何か

これ毎回出ているような気がします。

----
サイドチャネル攻撃とは - IT用語辞典 e-Words
http://e-words.jp/w/%E3%82%B5%E3%82%A4%E3%83%89%E3%83%81%E3%83%A3%E3%83%8D%E3%83%AB%E6%94%BB%E6%92%83.html
暗号解読手法の一つで、暗号を処理している装置の物理的な特性を外部から観察・測定することにより、秘密情報の取得を試みる攻撃手法。
----

問題集の解説によると、
「世紀でない入出力経路から、内部動作に応じて変化する電流や電圧、電磁波、処理時間んあど、観測できるあらゆる情報を使って、暗号ＬＳＩの内部のデータを読み取ろうとする攻撃のこと」
となる。

回答例の正答例では、
「暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって、当該装置内部の秘密情報を推定する攻撃」
とされています。


ほへーん。
つまりは外部から叩いた音とかを聞いて中身を判別するとかの手法みたいなもんやな。と。