基本情報技術者講座
★ 猫本 8-03 サイバー攻撃(その1) ★
基本情報技術者 平成31年春期 問37
パスワードリスト攻撃の手口に該当するものはどれか。
ア | 辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。 |
イ | パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。 |
ウ | 複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。 |
エ | よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。 |
解説
(頭の準備体操)
ブルートフォース攻撃(総当たり攻撃):利用者IDを固定し,パスワードを総当たりする。
ア | 辞書攻撃 |
イ | ブルートフォース攻撃(総当たり攻撃)(正解) |
ウ | パスワードリスト攻撃 |
エ | リバースブルートフォース攻撃(逆総当たり攻撃) |
解答
ウ
基本情報技術者 平成28年度秋期 問44
別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃はどれか。
ア | パスワードリスト攻撃 |
イ | ブルートフォース攻撃 |
ウ | リバースブルートフォース攻撃 |
エ | レインボー攻撃 |
解説
(頭の準備体操)
パスワードリスト攻撃:他のサイトで不正取得したパスワードの一覧を使用する。複数のサイトで同一の利用者IDとパスワードを使い回していることを悪用した攻撃。
ア | 「複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する」(FE31.1.37) |
イ | 「パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。」(FE31.1.37) |
ウ | 「よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。」(FE31.1.37) |
エ | 「平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき,それを用いて,不正に入手したハッシュ値からパスワードを解読する。」(AP31.1.38) |
解答
ア
基本情報技術者 平成28年度春期 問40
Webシステムのパスワードを忘れたときの利用者認証において合い言葉を使用する場合,合い言葉が一致した後の処理のうち,セキュリティ上最も適切なものはどれか。
ア | あらかじめ登録された利用者のメールアドレス宛てに,現パスワードを送信する。 |
イ | あらかじめ登録された利用者のメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。 |
ウ | 新たにメールアドレスを入力させ,そのメールアドレス宛てに,現パスワードを送信する。 |
エ | 新たにメールアドレスを入力させ,そのメールアドレス宛てに,パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。 |
解説
①「あらかじめ登録された利用者のメールアドレス宛て」
②「新たにメールアドレスを入力」
①の方がセキュリティ上適切である。②は入力を誤った場合,利用者以外へメールが送信されてしまうことが考えられる。
③「現パスワードを送信する。」
④「パスワード再登録用ページヘアクセスするための,推測困難なURLを送信する。」
④の方がセキュリティ上適切である。③は通信途上で現パスワードが漏れることが考えられる。
よって,イである。
解答
イ