認証・認可
パスワードリセットメール判定
身に覚えのないパスワードリセット通知を見て、確認すべき情報と初動を整理する演習です。
- 難易度
- 初級
- 所要時間
- 約8分
- カテゴリ
- 認証・認可
- 保存
- 未完了
学ぶこと
- 身に覚えのないリセット通知の初動を理解する
- リンクを開く前に通知元とアカウント状況を確認する
- 認証イベントの記録を残す観点を持つ
前提知識
- パスワードリセットの基本
- 認証ログの概要
シナリオ
あなたのチームに、利用中のSaaSを名乗るパスワードリセット通知が届きました。本人はリセットを依頼していないと言っています。
与えられた素材
表示名: Account Support
実際の送信元: [email protected]
件名: Password reset requested
本文:
パスワードリセットの申請を受け付けました。
申請していない場合も、アカウントを保護するため下記リンクから確認してください。
https://accounts-helpdesk.test/reset/confirmこのメールは演習用の架空通知です。
フラグを入力する
この状況で最初に行うべき確認を示すフラグを入力してください。形式: CYBERLENS{...}
入力値は小文字化し、空白を除去してSHA-256で照合します。入力内容は保存されません。
Hints
段階ヒント
- Hint 1
本人が依頼していない場合、リンクを開くより前に通知の正当性を確認します。
- Hint 2
送信元ドメインと、利用中SaaSの正規通知ドメインを比べます。
- Hint 3
認証ログや最近のリセット要求の有無を、公式ポータルから確認します。
ヒントを全部見ても詰まる場合は、解説を読んでから復習できます。 解説表示は正解扱いにはせず、完了状態とは分けて保存します。
Solved
解説
正解は、リセット通知の正当性と認証イベントを確認する判断です。本人に身に覚えがない場合、メール内リンクから進むのではなく、公式の既知URLや管理画面からリセット要求、ログイン履歴、MFA設定変更の有無を確認します。実務では、通知メールのヘッダー、受信時刻、対象アカウント、関連ログを記録し、必要に応じてパスワード変更やセッション失効へ進みます。
防御・実務での確認ポイント
- メール内リンクを開かず、公式の既知URLからアカウント状態を確認する
- 本人の申請有無、認証ログ、MFA変更、セッション発行をセットで見る
- 不審通知は本文だけで判断せず、ヘッダーと送信元ドメインを保存する
- リセット要求が不審な場合は、セッション失効と認証情報の変更を検討する