ITパスポート 2016年 秋期 問83
問題文
情報システムに対する攻撃のうち、あるIDに対して所定の回数を超えてパスワードの入力を間違えたとき、当該IDの使用を停止させることが有効な防衛手段となるものはどれか。
選択肢
ア:DoS攻撃
イ:SQLインジェクション
ウ:総当たり攻撃(正解)
エ:フィッシング
🔒 解説は解答すると表示されます
あるIDに対して所定の回数を超えてパスワードの入力を間違えたとき、当該IDの使用を停止させることが有効な防衛手段となるものはどれか。【ITパスポート 解説】
正解の理由
この問題で有効な防衛手段となるのは ウ(総当たり攻撃)です。
総当たり攻撃(ブルートフォース攻撃、英語:brute‑force attack)は、攻撃者が可能なパスワードを片っ端から大量に試して正しい組み合わせを見つけようとする手法です。これに対して「ある回数だけ間違えたら使用停止(アカウントロック)」を行うと、一定回数以上の試行を強制的に止められるため、総当たり攻撃の有効性を低下させられます。つまり多数のパスワードを自動で試す攻撃を阻止するのに直接役立つため、ウが正答です。
(注)「使用を停止させる」は一般にアカウントロックやロックアウトと呼ばれます。
解法ステップ
- 問題文を読み、「所定の回数を超えてパスワードの入力を間違えたとき」という条件に注目する。
- 各選択肢がどんな攻撃かを簡単に思い浮かべる。
- DoS攻撃(DoS:Denial of Service=サービス拒否攻撃)はサービスを使えなくする攻撃。
- SQLインジェクションは、データベース操作言語SQL(Structured Query Language:データベースを操作する言語)を悪用する攻撃。
- 総当たり攻撃は大量のパスワード候補を順に試す攻撃。
- フィッシングは偽のメールやサイトでIDやパスワードを騙し取る手口。
- 「パスワードを大量に試される」ことに直接効く対策はどれかを考えると、総当たり攻撃に対する「試行回数の制限(アカウントロック)」が最も有効と判断できる。これで ウ が正解とわかります。
選択肢別の誤答解説
-
ア: DoS攻撃(Denial of Service:サービス拒否攻撃)
DoSはサーバやネットワークに大量のアクセスを送り、サービスを停止させる攻撃です。アカウント単位のパスワード試行回数制限は、サービス自体への大量アクセスを止めるものではないため、DoS対策にはならないことが多いです。 -
イ: SQLインジェクション(SQL:Structured Query Language)
SQLインジェクションは、データベース操作命令を不正に挿入してデータを抜き取ったり改ざんしたりする攻撃です。パスワードの「多数回の入力試行」を制限する措置は、SQLインジェクションによる不正なSQL文の挿入を止めるものではありません。 -
ウ: 総当たり攻撃(ブルートフォース攻撃)
前述のとおり、多数のパスワードを試行して突破する攻撃です。試行回数制限(アカウントロック)はこの攻撃の効果を直接減らします。 -
エ: フィッシング(phishing:偽サイトやメールで認証情報をだまし取る手法)
フィッシングは人をだます手口なので、「誰かが繰り返し間違えるのを検出してアカウントを止める」方式では防げません。むしろ教育や二要素認証が有効です。
よくある誤解
-
「アカウントロックすれば完全に安全」ではない
アカウントロックは総当たりを減らしますが、辞書攻撃(よく使われる単語を試す)や使い回しの弱いパスワードには別の対策(長く複雑なパスワード、多要素認証)が必要です。 -
「ロック=永久に止める」は運用上よくない
永久ロックは正当な利用者に不便を与えます。一般には一時ロック(一定時間だけログイン不可)や管理者解除が使われます。 -
ロック自体が新たな攻撃を招く可能性がある
悪意ある第三者が他人のIDにわざと繰り返し誤入力してアカウントをロックさせ、サービス利用を妨害(アカウント型DoS)することがあります。これを防ぐ運用設計が必要です。
補足コラム
アカウントロック以外に総当たり攻撃を抑える代表的な対策:
- レートリミット(要求頻度制限)
一定時間内の試行回数を制限する方法。IPアドレスやアカウント単位で制限します。 - CAPTCHA(キャプチャ)
自動化されたプログラム(ボット)を阻むために、人間だけが解ける問題を出す仕組みです。 - 多要素認証(MFA:Multi‑Factor Authentication=二要素以上で認証)
パスワードの他にワンタイムコードやスマホ承認など別の要素を要求することで、安全性を高めます。 - パスワードポリシーと監視
推測されにくい長めのパスワードの要求や、異常なログイン試行の検知と通報を組み合わせます。
運用のポイント:
- 閾値(何回でロックするか)はセキュリティと利便性のバランスで決める(例:5回)
- 一時ロック(例:15分間のログイン禁止)を基本にすることが多い
- ロックによる不正な妨害を検出する仕組み(同一IPから多数アカウントへの誤入力など)を用意する
FAQ
Q1: アカウントロックにすると利用者が困ることはありますか?
A1: はい。誤って何度も間違えると一時的に使えなくなるため、カスタマーサポートの対応や解除手順を用意しておく必要があります。
A1: はい。誤って何度も間違えると一時的に使えなくなるため、カスタマーサポートの対応や解除手順を用意しておく必要があります。
Q2: 分散して試行する(複数IPから少しずつ試す)総当たりには効きますか?
A2: 単純なアカウントロックだけでは防げない場合があります。IPごとのレートリミットや多要素認証と組み合わせるのが有効です。
A2: 単純なアカウントロックだけでは防げない場合があります。IPごとのレートリミットや多要素認証と組み合わせるのが有効です。
Q3: フィッシングやSQLインジェクションにも同じ対策で使えますか?
A3: いいえ。フィッシングはユーザ教育や多要素認証、SQLインジェクションは入力値検証やプリペアドステートメント(準備済み文)などの対策が必要です。
A3: いいえ。フィッシングはユーザ教育や多要素認証、SQLインジェクションは入力値検証やプリペアドステートメント(準備済み文)などの対策が必要です。
関連キーワード: パスワード攻撃、総当たり攻撃(ブルートフォース)、アカウントロック、ロックアウト、レートリミット、多要素認証(MFA)、CAPTCHA、DoS攻撃(サービス拒否)、SQLインジェクション、フィッシング

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

