選択肢のエの攻撃者が，複合機から送信される電子メールを盗聴し，本文に記載されているURLを使ってBサーバにアクセスする。その結果，A社の採用予定者の個人情報が漏えいする。

という選択肢で、
解説に
Bサーバは、自社の社内ネットワークに設置されているため、攻撃者が電子メール中のURLをクリックしても、外部からBサーバにアクセスすることはできません。難しく考えているのでしょうか

何故アクセスできないのか不明です。PDFのURLしか書いてないためですか？
ご解説お願いいたします。

Bサーバにアクセスするには、従業員ごとの利用者IDとパスワードが必要になるとの注記があります。
メール中のURLをクリックするとPC内のファイルが漏洩することはありますが、IDとパスワードを書いたファイルをPC内に保存していない限り、Bサーバにはアクセスできないのではないでしょうか。

図2の注1）に、「Bサーバにアクセスする際は，従業員ごとの利用者IDとパスワードが必要になる。」とありますので、たとえ攻撃者が電子メールを盗聴して本文に記載されているURLをクリックしたとしても、従業員ごとの利用者IDとパスワードが分からないので、Bサーバにアクセスすることはできないと思います。

また、従業員ごとの利用者IDとパスワードが漏えいするなど情報セキュリティリスクがあるとの指摘もされていないため、選択肢エはA社が対策が必要であると評価した情報セキュリティリスクには該当しないと思います。

>タマルさん,momochanさん
解説ありがとうございました。

注1）に、「Bサーバにアクセスする際は，従業員ごとの利用者IDとパスワードが必要になる。」これに感づけばいいのかと分かりました。
問題の根拠を素早く抜けるように練習します。

すみませんもう一つ(スレ制限のためこちらに追記)
令和6年のパーフェクトラーニングにて、
基本情報技術者過去問題 平成29年春期 午後問1より
問題文には、Aさんは，ファイルを圧縮し，圧縮したファイルを共通鍵暗号方式で暗号化した上で電子メール(以下，メールという)に添付して送信し，とあります。

しかし、解説には電子メールにファイルを添付する際にファイルの圧縮を行うことで通信量や記憶領域を減らす効果はありますが、ファイルは暗号化されているわけではないので容易に解読されてしまいますと書かれています。

そこでエの結果としてファイルを添付したメールと，鍵を送付するメールの両方が盗聴される可能性があるという選択肢がこれなんだろうなと思いますが、何か腑に落ちません
解説よろしくお願いいたします。

>ファイルは暗号化されているわけではないので容易に解読されてしまいますと書かれています。
「圧縮したファイルを共通鍵暗号方式で暗号化した上で」とありますので暗号化はされているのではないでしょうか。

"盗聴"の意味をドットコムサイトの情報処理試験キーワード集で確認してみました。
「ネットワークを介して送受信されている音声やデータを不正に傍受する行為。」

送付を別々に分けても盗聴される（メールが傍受される）可能性はあるのではないでしょうか。
ファイルの暗号化が共通鍵暗号方式ですので、復号用の鍵を第三者が入手すれば復号も容易にされてしまいますので安全とはいえないと思います。

なら、ウでも該当しません？

基本情報 平成29年 春期 午後 問1
https://www.fe-siken.com/kakomon/29_haru/pm01.html

鍵を用いて暗号文から平文を得る行為を「復号」decrypt（decipher, decodeも同義）と呼び、
鍵なしで暗号文から平文を得ようとする行為（正規の復号鍵と同じものを生成しよう／見つけ出そうする行為）を「解読」crack と呼び分けています。

> ウ  共通鍵暗号方式は，他の暗号方式よりも解読が容易である。
> なら、ウでも該当しません？

下線①の状況は、「盗聴」によって得られた（正しい）鍵で「復号」しています。
「解読」はしていません。

> 解説には（略）ファイルは暗号化されているわけではないので
> 容易に解読されてしまいますと書かれています。

「解読」という用語の意味を勘違いしている、間違った解説文です。

解読が容易かどうかは暗号化アルゴリズムによると思います。
暗号化方式の違いなら、
・鍵の管理では、共通鍵暗号方式なら「困難」、公開鍵暗号方式なら「容易」
・処理速度では、共通鍵暗号方式なら「高速」、公開鍵暗号方式なら「低速」

危殆化したものを使っていれば解読されやすくなるのでしょうね。

>解説には電子メールにファイルを添付する際にファイルの圧縮を行うことで通信量や記憶領域を減らす効果はありますが、ファイルは暗号化されているわけではないので容易に解読されてしまいます
これは、暗号化されていないファイルを圧縮した場合の解説であって、平成29年春期 午後問1の問題には該当しないと思います。
ウは、
>共通鍵暗号方式
>Aさんの方式は安全とはいえない
>公開鍵暗号方式
のような流れだと思いますが、
共通鍵暗号方式、公開鍵暗号方式は一つのまとまった言葉であって、Aさんの方式ではないと思います。
Aさんの方式は、
>・・・別のメールで復号用の鍵を送付する方式
>圧縮したファイルを公開鍵暗号方式で暗号化してメールに添付する方式
になると思います。
だからEさんは、復号用の鍵をメールで送るのが危険だと指摘しているのだと思います。

>皆様
解説ありがとうございました。
①元々Aさんは共通鍵暗号方式で暗号化したファイルを送付
②復号鍵を送ろうとした（書いてないけど暗号化して送付する予定）
③しかしリーダーのEさんから指摘されて公開鍵方式を採用する(注意点はある)

共通鍵方式なら盗聴されるのは分かりましたが、
なら、公開鍵方式でも復号鍵を盗聴されたら終わりなのではと思いましたが、
私が公開鍵方式を鵜呑みしていた部分があって、
受信者の鍵(秘密鍵)は受信者しか持ってないことを理解してませんでした。
ありがとうございました。

すみません。本筋とは違いますが、気になったので、
>②復号鍵を送ろうとした（書いてないけど暗号化して送付する予定）
こいつを暗号化したら、どうやって復号するのか？
できないので、別のメールで復号用の鍵を送付する時は、平文になると思います。
始めの方式が危険なのは、このことも含めていると思います。

＞boyonboyonさん
②復号鍵を送ろうとした（書いてないけど暗号化して送付する予定）
暗号化したら使えないですよね。平文で送付しないといけないですよね
ご指摘ありがとうございます。

この投稿は投稿者により削除されました。(2024.02.09 22:16)