ぱわふる

「アイテック」と「TAC」で解答が出たので、試験勉強期間１週間で挑んだ４月１９日の試験の反省です。午後の試験の点数は「TAC」の配点予想を参考につけました。

午前I：免除

午前II：18/25（72点）で合格。

問０１：EV SSL証明書はとったことがなくて普通に間違えました。ちょこっと参考書を見直していれば正解できた問題。

問０３：Unicode絡みのライブラリを作っていれば間違えるわけがない問題。

問０４：VA（Validation Authority）の役割を勉強していなくて不正解。

問０８：「ア」と「ウ」で迷って直前で「ウ」に変えて正解。「電子政府推奨暗号リスト」でOK。

問０９：「ウ」か「エ」で悩んで「エ」を選んで不正解。AHは暗号化の機能をもっていないらしい。

問１０：ntpdの脆弱性情報が出てて自分も確認していたのですが不正解。「JPCERT/CC」で「ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起」が出ていますね。

問１８：恥ずかしながら「送信元IPアドレス」を選んで不正解。「送信元IPアドレス」は「IPヘッダ」にあるようです。

問２１：勘で正解。

問２２：共通フレーム知らんがな。(´・ω・｀)

問２４：コールドアイル -> 冷たい通路？ で「ウ」を選んで正解。英単語覚えててラッキー。

問２５：なんのこっちゃで不正解。

午後I：問１と問３を選択。惜しい解答で１点ももらえない場合は不合格の場合もあるという出来具合。（５９点～７０点）

問１：３５点～４０点ぐらい

設問１：OK。

設問２：（１）：改行を１つしか書いてなくて不正解。（３）：「ヘッダー中の不適切な文字列を無害化する」という主旨の回答を書いたけど、もう少し具体的に書いたほうが良かっただろうか。設問３：（２）：WebアプリがセッションIDでユーザを識別して、かつ、JがKと同じセッションIDを（ｒｙ（多分OKでしょう）（３）：遷移毎にセッションIDを更新する主旨の回答をしました。（ユーザが次から次へとやってくるという考えで「遷移毎」と書いたと思って採点して欲しい）

問３：２４点～３０点ぐらい

設問１：大体模範解答通り。攻撃方法を具体的にと書いてあったので、リバースブルートフォース攻撃と書いてみました。でも、特定できたパスワードでリバースブルートフォース攻撃をするのは効率が悪いだろうか。しかし、ハッシュ値から特定できたパスワードと同じパスワードということは、それなりにありふれたパスワードである確率が高いので、効率が悪すぎてどうしようもないということもないレベルか。「リバースブルートフォース攻撃」と書いたのが余計で若干の減点は免れないと思われます。

設問２：（２）で「単位時間あたり」と書いた記憶がない！　それ以外は完璧。

設問３：時間が足りなかった「e」以外は正解。

設問４：利用者IDを解答に含めるべきかで悩んで結局含めず。それ以外は大体模範解答通りなのですが、またしても「攻撃方法を具体的に」に惑わされ、文末に「リバースブルートフォース攻撃」と書いてしまいました。利用者IDにメールアドレスを使っていると書いてあるので、別のサイトで漏洩したパスワードを使って「リバースブルートフォース攻撃」をするにはかなり効率が悪いでしょう。（減点）

午後II：問１でDNSSECは書けたけど、オープンリゾルバを知らなかったので、途中で問２に切り替えました。（６９点～８８点）

設問１：OK。（８点）

設問２：（１０点～１８点）（１）（８点～１２点）　ｂ：スクリーンをロック　ｃ：他者に推測されにくい（これでもいいでしょう）　ｄ：使われないように（ほぼイコール「知られないように」なので正解のはず）

（２）解答するにはやや情報が足りないように感じて少々悩みました。（２点～６点ぐらい）「脆弱性修正プログラムの動作検証を行い、脆弱性修正プログラムを適用する」というようなことを書きました。

設問３：OK。（１６点）

設問４：（３５点～４６点）（１）：OK。（１６点）（２）：「アイテック」と「TAC」で答えが分かれていますが、３問以上正解は確実。（１２点～１６点）（３）：一番難しかった問題。K工場と協力会社は協力関係にあって悪意ある行動はとらない云々と書きましたがバツでしょうね。（０点）（４）：１つは「証明書の秘密鍵が漏えいした場合」と書いて正解。もう１つは「協力会社が接続端末を売却や廃棄やリプレースした場合」と書きましたが微妙ですかね。（７点～１４点）

合格か否かは午後Iでどれだけ減点を免れることができるかにかかっています！