応用情報技術者 2018年 秋期 午前2 問42
問題文
ブルートフォース攻撃に該当するものはどれか。
選択肢
ア:Webブラウザと Webサーバの間の通信で、認証が成功してセッションが開始されているときに、 Cookie などのセッション情報を盗む。
イ:コンピュータへのキー入力を全て記録して外部に送信する。
ウ:使用可能な文字のあらゆる組合せをそれぞれパスワードとして、繰り返しログインを試みる。(正解)
エ:正当な利用者のログインシーケンスを盗聴者が記録してサーバに送信する。
ブルートフォース攻撃に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:ブルートフォース攻撃は、あらゆる文字の組合せを試してパスワードを割り出す攻撃手法です。
- 根拠:攻撃者が可能な文字列を総当たりで試行し、正しい認証情報を見つけ出すため、時間と計算資源を大量に使います。
- 差がつくポイント:ブルートフォース攻撃は「試行回数の多さ」と「パスワードの組合せ全探索」が特徴であり、盗聴やセッションハイジャックとは異なります。
正解の理由
選択肢ウは「使用可能な文字のあらゆる組合せをそれぞれパスワードとして繰り返しログインを試みる」とあり、これはまさにブルートフォース攻撃の定義に合致します。パスワードを総当たりで試すことで認証を突破しようとする攻撃手法です。
よくある誤解
ブルートフォース攻撃は「盗聴」や「セッション情報の盗用」と混同されやすいですが、これらは別の攻撃手法であり、ブルートフォースはあくまで「総当たり試行」による攻撃です。
解法ステップ
- 問題文の「ブルートフォース攻撃」の意味を確認する。
- 各選択肢の攻撃手法を理解し、ブルートフォースの特徴と照合する。
- 「文字の組合せを総当たりで試す」攻撃がどれかを特定する。
- 該当する選択肢を選ぶ。
選択肢別の誤答解説
- ア: セッション情報の盗用は「セッションハイジャック」であり、ブルートフォース攻撃ではありません。
- イ: キーロガーによるキー入力の記録は「キーロガー攻撃」で、ブルートフォースとは異なります。
- ウ: 総当たりでパスワードを試す攻撃で、ブルートフォース攻撃の典型例です。
- エ: 正当なログインシーケンスを盗聴して再利用するのは「リプレイ攻撃」であり、ブルートフォース攻撃ではありません。
補足コラム
ブルートフォース攻撃はパスワードの強度に大きく依存します。長く複雑なパスワードや多要素認証を導入することで防御効果が高まります。また、アカウントロックアウトやログイン試行回数制限も有効な対策です。
FAQ
Q: ブルートフォース攻撃と辞書攻撃はどう違いますか?
A: 辞書攻撃は予め用意した単語リストを使うのに対し、ブルートフォース攻撃は全ての文字の組合せを試すため、より網羅的です。
A: 辞書攻撃は予め用意した単語リストを使うのに対し、ブルートフォース攻撃は全ての文字の組合せを試すため、より網羅的です。
Q: ブルートフォース攻撃はどのくらい時間がかかりますか?
A: パスワードの長さや文字種によりますが、複雑なパスワードなら数年単位で時間がかかることもあります。
A: パスワードの長さや文字種によりますが、複雑なパスワードなら数年単位で時間がかかることもあります。
関連キーワード: ブルートフォース攻撃、総当たり攻撃、パスワードクラッキング、セキュリティ対策、認証突破
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!