応用情報技術者 2024年 秋期 午前2 問40
問題文
パスワードリスト攻撃に該当するものはどれか。
選択肢
ア:一般的な単語や人名からパスワードのリストを作成し、 インターネットバンキングへのログインを試行する。
イ:想定し得るパスワードとそのハッシュ値との対のリストを用いて、 入手したハッシュ値からパスワードを効率的に解析する。
ウ:どこかの Webサイトから流出した利用者 IDとパスワードのリストを用いて、 他の Webサイトに対してログインを試行する。(正解)
エ:ピクチャパスワードの入力を録画してリスト化しておき、 それを利用することによってタブレット端末へのログインを試行する。
パスワードリスト攻撃に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:パスワードリスト攻撃は、流出したIDとパスワードの組み合わせを使い他サイトでログインを試みる攻撃です。
- 根拠:攻撃者は既に漏洩した認証情報を利用し、別のサービスでの不正アクセスを狙います。
- 差がつくポイント:辞書攻撃やハッシュ解析との違いを理解し、流出情報の再利用に注目することが重要です。
正解の理由
選択肢ウは「どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する」とあります。これは典型的なパスワードリスト攻撃(Credential Stuffing)であり、漏洩情報をそのまま他のサービスに流用して不正ログインを試みる手法です。
他の選択肢は辞書攻撃やハッシュ解析、録画による攻撃であり、パスワードリスト攻撃とは異なります。
他の選択肢は辞書攻撃やハッシュ解析、録画による攻撃であり、パスワードリスト攻撃とは異なります。
よくある誤解
パスワードリスト攻撃は単なる辞書攻撃や総当たり攻撃と混同されやすいですが、既に漏洩したID・パスワードの組み合わせを使う点が異なります。
解法ステップ
- 問題文の「パスワードリスト攻撃」の意味を確認する。
- 各選択肢の攻撃手法を理解し、特徴を整理する。
- 「流出したIDとパスワードのリストを使う」攻撃を探す。
- それが選択肢ウであることを確認し、正解とする。
選択肢別の誤答解説
- ア:辞書攻撃に該当し、一般的な単語を使うためパスワードリスト攻撃とは異なります。
- イ:ハッシュ値とパスワードの対を使った解析であり、パスワードリスト攻撃ではありません。
- ウ:流出したID・パスワードのリストを使う典型的なパスワードリスト攻撃です。
- エ:録画したピクチャパスワードを使う攻撃で、パスワードリスト攻撃とは異なります。
補足コラム
パスワードリスト攻撃は「Credential Stuffing」とも呼ばれ、複数のサービスで同じパスワードを使い回すユーザーの弱点を突きます。多要素認証やパスワード管理ツールの利用が防御策として有効です。
FAQ
Q: パスワードリスト攻撃と辞書攻撃の違いは何ですか?
A: パスワードリスト攻撃は既に漏洩したID・パスワードの組み合わせを使うのに対し、辞書攻撃は一般的な単語を試す攻撃です。
A: パスワードリスト攻撃は既に漏洩したID・パスワードの組み合わせを使うのに対し、辞書攻撃は一般的な単語を試す攻撃です。
Q: なぜパスワードリスト攻撃は危険なのですか?
A: 流出情報を使い複数のサービスで不正ログインを試みるため、被害が広範囲に及ぶ可能性があります。
A: 流出情報を使い複数のサービスで不正ログインを試みるため、被害が広範囲に及ぶ可能性があります。
関連キーワード: パスワードリスト攻撃、Credential Stuffing, 辞書攻撃、ハッシュ解析、不正ログイン、多要素認証
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!