応用情報技術者 2015年 秋期 午前2 問44
問題文
ブルートフォース攻撃に該当するものはどれか。
選択肢
ア:Web ブラウザとWebサーバの間の通信で、認証が成功してセッションが開始されているときに、Cookie などのセッション情報を盗む。
イ:可能性がある文字のあらゆる組合せのパスワードでログインを試みる。(正解)
ウ:コンピュータへのキー入力を全て記録して外部に送信する。
エ:盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。
ブルートフォース攻撃に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:ブルートフォース攻撃は「可能性のある文字の全組合せでパスワードを試す攻撃」であり、正解はイです。
- 根拠:ブルートフォース攻撃は総当たり攻撃とも呼ばれ、パスワードの全パターンを試すことで突破を狙います。
- 差がつくポイント:ブルートフォース攻撃と他の攻撃手法(セッションハイジャック、キーロガー、リプレイ攻撃)を明確に区別できるかが重要です。
正解の理由
イの「可能性がある文字のあらゆる組合せのパスワードでログインを試みる」は、ブルートフォース攻撃の定義そのものです。パスワードを総当たりで試すため、攻撃対象の認証情報を直接狙う典型的な手法です。
よくある誤解
ブルートフォース攻撃は「盗聴」や「セッション情報の盗用」とは異なり、パスワードを推測するための試行錯誤の攻撃です。これらを混同しないよう注意しましょう。
解法ステップ
- 問題文の「ブルートフォース攻撃」の意味を正確に理解する。
- 各選択肢の攻撃手法を確認し、ブルートフォース攻撃に該当するか判断する。
- 「全組合せのパスワードを試す」攻撃がブルートフォース攻撃であることを認識する。
- イの選択肢が該当するため、正解とする。
選択肢別の誤答解説
- ア: セッション情報の盗用は「セッションハイジャック」であり、ブルートフォース攻撃ではありません。
- イ: 可能性のある文字のあらゆる組合せのパスワードでログインを試みるため、ブルートフォース攻撃に該当します。
- ウ: キー入力を記録するのは「キーロガー攻撃」であり、ブルートフォース攻撃とは異なります。
- エ: 正当なログインシーケンスを記録して再送信するのは「リプレイ攻撃」であり、ブルートフォース攻撃ではありません。
補足コラム
ブルートフォース攻撃はパスワードの長さや複雑さにより成功確率が大きく変わります。強力なパスワードや多要素認証の導入で防御効果が高まります。また、総当たり攻撃を防ぐためにログイン試行回数の制限やCAPTCHAの導入も有効です。
FAQ
Q: ブルートフォース攻撃と辞書攻撃はどう違いますか?
A: ブルートフォース攻撃は全ての文字組合せを試すのに対し、辞書攻撃はよく使われる単語やフレーズを試す攻撃です。
A: ブルートフォース攻撃は全ての文字組合せを試すのに対し、辞書攻撃はよく使われる単語やフレーズを試す攻撃です。
Q: ブルートフォース攻撃はどのくらい時間がかかりますか?
A: パスワードの長さや文字種によりますが、複雑なパスワードなら数年かかることもあります。
A: パスワードの長さや文字種によりますが、複雑なパスワードなら数年かかることもあります。
関連キーワード: ブルートフォース攻撃、総当たり攻撃、パスワード攻撃、セッションハイジャック、キーロガー、リプレイ攻撃
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!