応用情報技術者 2015年 春期 午前2 問39
問題文
パスワードリスト攻撃に該当するものはどれか。
選択肢
ア:一般的な単語や人名からパスワードのリストを作成し、インターネットバンキングへのログインを試行する。
イ:想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する。
ウ:どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する。(正解)
エ:ピクチャパスワードの入力を録画してリスト化しておき、それを利用することでタブレット端末へのログインを試行する。
パスワードリスト攻撃に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:パスワードリスト攻撃は、流出したIDとパスワードの組み合わせを使い他サイトでログインを試みる攻撃です。
- 根拠:攻撃者は既に漏洩した認証情報を利用し、別のサービスでの不正アクセスを狙います。
- 差がつくポイント:単語リストやハッシュ解析との違いを理解し、流出情報の再利用に注目することが重要です。
正解の理由
選択肢ウは「どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する」とあります。これは典型的なパスワードリスト攻撃(Credential Stuffing)であり、漏洩情報をそのまま他サービスで使う攻撃手法です。攻撃者は既に有効な認証情報を持っているため、成功率が高いのが特徴です。
よくある誤解
パスワードリスト攻撃は単なる辞書攻撃やハッシュ解析とは異なり、既に流出したID・パスワードの組み合わせを使う点が混同されやすいです。
解法ステップ
- 問題文の「パスワードリスト攻撃」の意味を確認する。
- 各選択肢の攻撃手法を理解し、流出情報の利用有無を判断する。
- 辞書攻撃やハッシュ解析と流出情報の再利用を区別する。
- 流出したID・パスワードの組み合わせを使う選択肢を選ぶ。
選択肢別の誤答解説
- ア:一般的な単語や人名からパスワードを推測するのは辞書攻撃であり、パスワードリスト攻撃とは異なります。
- イ:ハッシュ値とパスワードの対を使って解析するのはレインボーテーブル攻撃やハッシュ解析で、リスト攻撃ではありません。
- ウ:流出したIDとパスワードのリストを使い他サイトでログインを試みる典型的なパスワードリスト攻撃です。
- エ:ピクチャパスワードの録画を使うのは物理的な盗撮やスパイ行為であり、リスト攻撃の定義には当てはまりません。
補足コラム
パスワードリスト攻撃は「Credential Stuffing」とも呼ばれ、複数のサービスで同じパスワードを使い回すユーザーが狙われやすい攻撃です。多要素認証(MFA)やパスワード管理ツールの利用が防御策として有効です。
FAQ
Q: パスワードリスト攻撃と辞書攻撃の違いは何ですか?
A: 辞書攻撃は一般的な単語を使ってパスワードを推測するのに対し、パスワードリスト攻撃は既に流出したID・パスワードの組み合わせを使います。
A: 辞書攻撃は一般的な単語を使ってパスワードを推測するのに対し、パスワードリスト攻撃は既に流出したID・パスワードの組み合わせを使います。
Q: なぜパスワードリスト攻撃は成功しやすいのですか?
A: 流出情報は実際に使われていた認証情報なので、他サービスでも同じ組み合わせが使われている可能性が高いためです。
A: 流出情報は実際に使われていた認証情報なので、他サービスでも同じ組み合わせが使われている可能性が高いためです。
関連キーワード: パスワードリスト攻撃、Credential Stuffing, 辞書攻撃、ハッシュ解析、多要素認証、パスワード使い回し
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!