情報セキュリティマネジメント平成31年春期 午前問16

午前問16

特定のサービスやシステムから流出した認証情報を攻撃者が用いて,認証情報を複数のサービスやシステムで使い回している利用者のアカウントへのログインを試みる攻撃はどれか。
  • パスワードリスト攻撃
  • ブルートフォース攻撃
  • リバースブルートフォース攻撃
  • レインボー攻撃
  • [この問題の出題歴]
  • 基本情報技術者 H28秋期 問44

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

パスワードリスト攻撃は、複数のサイトで同様のID・パスワードの組合せを使用している利用者が多いという傾向を悪用したもので、あるサイトに対する攻撃などによって得られたIDとパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃です。

したがって「ア」が正解です。
  • 正しい。
  • ブルートフォース攻撃は、特定の文字数および文字種で設定される可能性のある組合せ全てを試すことで不正ログインを試みるパスワードクラック手法です。総当り攻撃とも呼ばれます。
  • リバースブルートフォース攻撃は、ブルートフォースとは逆に、パスワードを1つに固定し、利用者IDを総当りで試していくことで不正ログインを試みるパスワードクラック手法です。設定できるパスワード種が(数字4桁などのように)非常に少ないシステムに対しては、通常のブルートフォースよりも効率的に認証を突破できます。よく使用される安易なパスワード(1234・qwer・adminなど)を使用していると、この攻撃の被害を受けやすくなります。
    また、様々な利用者IDを次々と試すので、一般的なアカウントロックの仕組みでは防御しにくいという性質を持ちます。
  • レインボー攻撃は、想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃です。通常パスワードは漏えい対策のためにハッシュ化された状態でサーバに記録されていますが、レインボー攻撃はこのハッシュ化されたパスワードから本来のパスワードを推測することを目的としています。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop