基本情報技術者 2016年 秋期 午前（科目A） 問44

別サービスから流出した認証情報でアカウントを乗っ取る攻撃はどれか【午前2 解説】

要点まとめ

• 結論：流出した他サービスのID／パスワードの組をそのまま使って多数のアカウントにログインを試みる攻撃は、パスワードリスト攻撃（クレデンシャルスタッフィング）です。
• 根拠：被害者が使い回した認証情報（ユーザ名＋パスワードの組）が既に存在する点が特徴で、総当たりとは識別方法が異なります。
• 差がつくポイント：ブルートフォースやリバース型、レインボーは試行対象や手法（総当たり／ハッシュ逆算）で区別でき、防御策も多要素認証やレート制限で変わります。

正解の理由

よくある誤解

• 「ブルートフォースと同じ」：ブルートフォースは単一アカウントに対して可能なパスワード空間を総当たりする方法で、既知の流出情報を使う点で区別されます。
• 「リバースブルートフォース＝パスワードリスト攻撃」：リバースは一般に共通パスワードを多数のアカウントに対して試す手法（password sprayingに近い）で、流出したペアを使う点が異なります。
• 「レインボー攻撃は認証を横取りするもの」：レインボーはあくまでハッシュ値から平文を逆算する技術で、ネットワーク上の認証試行とは用途が異なります。

解法ステップ

1. 問題文のキーワードを抽出：「別のサービス」「流出」「使い回し」「乗っ取る」。
2. 各選択肢の定義を短く確認：パスワードリスト（流出情報を再利用）、ブルートフォース（総当たり）、リバース（共通パスワードを多数アカウントへ）、レインボー（ハッシュ逆算）。
3. 設問の条件に一致する手法を当てはめる：流出情報をそのまま利用している点でパスワードリスト攻撃が一致。
4. 防御策や特徴で再確認：多要素認証で防げるのがパスワードリストの典型的対策であることを照合。

選択肢別の誤答解説

• ア: パスワードリスト攻撃 — 正解。外部流出したID/PWの組を多数のサービスで試してアカウントを乗っ取る手法（クレデンシャルスタッフィングとも呼ぶ）。
• イ: ブルートフォース攻撃 — 誤り。単一アカウントに対して文字種と長さの組合せを総当たりする攻撃で、流出リストを前提としない。
• ウ: リバースブルートフォース攻撃 — 誤り。一般には特定のパスワード（例："Password1"）を多数のユーザに当てる手法で、流出した特定組をそのまま試す点とは異なる。
• エ: レインボー攻撃 — 誤り。ハッシュ値から元のパスワードを高速に逆算するための事前計算表（レインボーテーブル）を使う方法で、認証試行の文脈とは用途が違う。

補足コラム

• 用語整理：パスワードリスト攻撃（credential stuffing）は「流出した認証情報の再利用」、パスワードスプレー（password spraying）やリバースブルートフォースは「少数の共通パスワードを多数アカウントに試す」戦術で運用的に近接するが目的と元データが異なります。
• 技術的背景：レインボーテーブルは未ソルト（saltなし）のハッシュを逆算するため有効ですが、ソルト付きハッシュやPBKDF2/ bcrypt/ scrypt/ Argon2のような遅延ハッシュには効果が薄いです。
• 防御の優先度：多要素認証（MFA）、レート制限・IP制限、異常ログイン検知、パスワード再利用チェック（ユーザに通知）などが実務で効果的です。

FAQ