応用情報技術者 2013年 秋期 午前2 問44
問題文
サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち、適切なものはどれか。
選択肢
ア:
イ:(正解)
ウ:
エ:
サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せ【午前2 解説】
要点まとめ
- 結論:辞書攻撃にはランダムなパスワード設定、スニッフィングには平文送信の回避、ブルートフォース攻撃には試行回数制限が有効です。
- 根拠:辞書攻撃は予測しやすい語句を狙うため複雑なパスワードが防御策、スニッフィングは通信の盗聴なので暗号化が必須、ブルートフォースは総当たり攻撃なので試行制限が効果的です。
- 差がつくポイント:攻撃手法ごとに適切な対策を理解し、混同しないことが合格の鍵です。
正解の理由
イの組み合わせはそれぞれの攻撃に対して最も効果的な対策を示しています。
- 辞書攻撃は辞書にある単語を試すため、ランダムで複雑なパスワード設定が防御になります。
- スニッフィングは通信内容を盗聴する攻撃なので、パスワードを平文で送信しない(暗号化通信)が有効です。
- ブルートフォース攻撃は総当たりで試すため、ログイン試行回数に制限を設けることで攻撃を阻止できます。
よくある誤解
パスワードを平文で送信しないことはスニッフィング対策であり、ブルートフォース攻撃の対策ではありません。
また、ランダムなパスワード設定は辞書攻撃に有効ですが、試行回数制限とは直接関係ありません。
また、ランダムなパスワード設定は辞書攻撃に有効ですが、試行回数制限とは直接関係ありません。
解法ステップ
- 各攻撃の特徴を理解する(辞書攻撃、スニッフィング、ブルートフォース攻撃)。
- 辞書攻撃は辞書にある単語を狙うため、複雑でランダムなパスワードが有効と判断。
- スニッフィングは通信の盗聴なので、パスワードを暗号化して送信する必要があると認識。
- ブルートフォース攻撃は総当たりで試すため、試行回数制限が効果的と結論付ける。
- 選択肢の組み合わせを照合し、正しい対策が並ぶものを選ぶ。
選択肢別の誤答解説
- ア:辞書攻撃で「パスワードを平文で送信しない」は誤り。これはスニッフィング対策。
- ウ:ブルートフォース攻撃に「パスワードを平文で送信しない」は誤り。試行回数制限が正解。
- エ:辞書攻撃に「ログイン試行回数制限」は効果薄く、スニッフィングに「ランダムな値でパスワード設定」も誤り。
補足コラム
辞書攻撃は辞書にある単語やよく使われるパスワードを試す攻撃で、単純なパスワードは非常に危険です。
スニッフィング対策としてはSSL/TLSなどの暗号化通信が一般的で、パスワードを盗まれにくくします。
ブルートフォース攻撃は試行回数が膨大になるため、アカウントロックやCAPTCHAで防御するのが効果的です。
スニッフィング対策としてはSSL/TLSなどの暗号化通信が一般的で、パスワードを盗まれにくくします。
ブルートフォース攻撃は試行回数が膨大になるため、アカウントロックやCAPTCHAで防御するのが効果的です。
FAQ
Q: 辞書攻撃とブルートフォース攻撃の違いは何ですか?
A: 辞書攻撃は予め用意した単語リストを使い、ブルートフォース攻撃は全ての組み合わせを試す総当たり攻撃です。
A: 辞書攻撃は予め用意した単語リストを使い、ブルートフォース攻撃は全ての組み合わせを試す総当たり攻撃です。
Q: スニッフィング対策でパスワードを平文で送信しないとは具体的にどういうことですか?
A: 通信を暗号化し、パスワードがネットワーク上でそのまま見えないようにすることを指します。
A: 通信を暗号化し、パスワードがネットワーク上でそのまま見えないようにすることを指します。
関連キーワード: 辞書攻撃、スニッフィング、ブルートフォース攻撃、パスワードセキュリティ、ログイン試行制限、暗号化通信
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!