ITパスポート講座
★ 猫本 5-02 サイバー攻撃(その3) ★
ITパスポート 平成30年度春期 問63
パスワード管理に関する記述のうち,適切なものはどれか。
| ア | 業務システムで使用しているパスワードを,私的なインターネットサービスの利用では使用しない。 |
| イ | 初期パスワードは,システムのログイン操作に慣れるまで変更しない。 |
| ウ | 数個のパスワードを用意しておき,それを使い回す。 |
| エ | パスワードは,平文のファイルに格納してPCへ保存しておく。 |
解説
| ア | 業務システムで使用しているパスワードを,私的なインターネットサービスの利用では使用しない。(正解) |
| イ | 「付与された初期パスワードは,最初にログインしたときに変更する。」(IP23.2.81) |
| ウ | パスワードは使い回さない。 |
| エ | パスワードは,平文のファイルに格納してPCへ保存してはいけない。 平文:暗号化されていない状態のデータ。 |
解答 ア
ITパスポート 平成28年度秋期 問83
情報システムに対する攻撃のうち,あるIDに対して所定の回数を超えてパスワードの入力を間違えたとき,当該IDの使用を停止させることが有効な防衛手段となるものはどれか。
| ア | DoS攻撃 |
| イ | SQLインジェクション |
| ウ | 総当たり攻撃 |
| エ | フィッシング |
解説
(頭の準備体操)
総当たり攻撃(ブルートフォース攻撃):「可能性がある文字のあらゆる組合せのパスワードでログインを試みる。」(AP27.2.44)
| ア | 「電子メールやWebリクエストなどを大量に送りつけて,ネットワーク上のサービスを提供不能にすること」(IP25.1.52) |
| イ | 「データベースに連携しているWebページのユーザ入力領域に悪意あるSQLコマンドを埋め込み,サーバ内のデータを盗み出す。」(IP24.1.77) |
| ウ | 「可能性がある文字のあらゆる組合せのパスワードでログインを試みる。」(AP27.2.44)。手当たり次第にログインを試みる攻撃であるため,パスワードの入力試行回数を制限することが有効である。(正解) |
| エ | 「金融機関などからの電子メールを装い,偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得すること」(IP28.1.63) |
解答
ウ
ITパスポート 平成29年度春期 問81
Webサーバの認証において,同じ利用者IDに対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に,その利用者IDを自動的に一定期間利用停止にするセキュリティ対策を行った。この対策によって,最も防御の効果が期待できる攻撃はどれか。
| ア | ゼロデイ攻撃 |
| イ | パスワードリスト攻撃 |
| ウ | バッファオーバフロー攻撃 |
| エ | ブルートフォース攻撃 |
解説
(頭の準備体操)
総当たり攻撃(ブルートフォース攻撃):「可能性がある文字のあらゆる組合せのパスワードでログインを試みる。」(AP27.2.44)
| ア | 「脆弱性に対してセキュリティパッチが提供される前に当該脆弱性を悪用して攻撃する。」(SG30.2.13) |
| イ | 「攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるもの」(IP04.1.95)。複数サイトで同ーの利用者IDとパスワードを使っている利用者がいる状況に着目した攻撃 |
| ウ | 「プログラムが用意している入力用のデータ領域を超えるサイズのデータを入力することで,想定外の動作をさせる。」(IP26.2.59) |
| エ | 「可能性がある文字のあらゆる組合せのパスワードでログインを試みる。」(AP27.2.44)。手当たり次第にログインを試みる攻撃であるため,パスワードの入力試行回数を制限する(入力試行回数に達したら一定期間利用停止する)ことが有効である。(正解) |
解答
エ
ITパスポート 平成31年度春期 問59
ログイン機能をもつWebサイトに対する,パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして,最も適切なものはどれか。
解説
(頭の準備体操)
パスワード盗聴への対策:暗号化された通信でパスワードを送信する。
総当たり攻撃への対策 :パスワードの入力試行回数を制限する。
よって,イである。
解答
イ
ITパスポート 令和4年度 問95
攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。
| ア | DoS攻撃 |
| イ | SQLインジェクション |
| ウ | パスワードリスト攻撃 |
| エ | フィッシング |
解説
(頭の準備体操)
パスワードリスト攻撃:「別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃」(FE28.2.44)
| ア | 「電子メールやWebリクエストなどを大量に送りつけて,ネットワーク上のサービスを提供不能にすること」(IP25.1.52) |
| イ | 「データベースに連携しているWebページのユーザ入力領域に悪意あるSQLコマンドを埋め込み,サーバ内のデータを盗み出す。」(IP24.1.77) |
| ウ | 「別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃」(FE28.2.44)(正解) |
| エ | 「金融機関などからの電子メールを装い,偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得すること」(IP28.1.63) |
解答
ウ
ITパスポート 平成29年度春期 問95
あるWebサイトからIDとパスワードが漏えいし,そのWebサイトの利用者が別のWebサイトで,パスワードリスト攻撃の被害に遭ってしまった。このとき,Webサイトで使用していたIDとパスワードに関する問題点と思われる記述はどれか。
| ア | IDとパスワードを暗号化されていない通信を使ってやり取りしていた。 |
| イ | 同じIDと同じパスワードを設定していた。 |
| ウ | 種類が少ない文字を組み合わせたパスワードを設定していた。 |
| エ | 短いパスワードを設定していた。 |
解説
(頭の準備体操)
パスワードリスト攻撃:「攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるもの」(IP04.1.95)
パスワードリスト攻撃は,複数サイトで同ーの利用者IDとパスワードを使っている利用者がいる状況に着目した攻撃である。
よって,イである。
解答
イ
ITパスポート 平成29年度秋期 問59
コンピュータなどのアカウントに設定するパスワードに関し,使用する文字種や長さなどの条件を定めたものはどれか。
| ア | シングルサインオン |
| イ | パスワードクラック |
| ウ | パスワードポリシ |
| エ | ワンタイムパスワード |
解説
(頭の準備体操)
パスワードポリシ:パスワードに使用できる文字数や文字の種類などを定めた規則
| ア | 「利用者は最初に1回だけ認証を受ければ,許可されている複数のサービスを利用できるので,利便性が高い。」(IP30.1.91) |
| イ | 他人のパスワードを盗むこと |
| ウ | パスワードに使用できる文字数や文字の種類などを定めた規則(正解) |
| エ | 一度しか使用できない使い捨てのパスワード |
解答
ウ
ITパスポート 平成28年度秋期 問61
パスワードの長さが8文字で,各文字に使用できる文字の種類がM種類のとき,設定できるパスワードの総数を表す式はどれか。
| ア | 8×M |
| イ | 8M |
| ウ | M8-1 |
| エ | M8 |
解説
パスワードの長さが1文字では,M=M1通り表現できる。
パスワードの長さが2文字では,M×M=M2通り表現できる。
パスワードの長さが3文字では,M×M×M=M3通り表現できる。
よって,パスワードの長さが8文字では,M8通り表現できる。
解答
エ
ITパスポート 令和元年度秋期 問80
パスワードの解読方法の一つとして,全ての文字の組合せを試みる総当たり攻撃がある。"A"から"Z"の26種類の文字を使用できるパスワードにおいて,文字数を4文字から6文字に増やすと,総当たり攻撃でパスワードを解読するための最大の試行回数は何倍になるか。
| ア | 2 |
| イ | 24 |
| ウ | 52 |
| エ | 676 |
解説
パスワードの長さが4文字では,26×26×26×26=264通り表現できる。
同様に,パスワードの長さが6文字では,266通り表現できる。
よって,266÷264=262=676倍である。
解答
エ