情報処理安全確保支援士 2011年 春期 午前2 問08
問題文
サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち、適切なものはどれか。
選択肢
ア:
イ:(正解)
ウ:
エ:
サーバへのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せ【午前2 解説】
要点まとめ
- 結論:辞書攻撃にはランダムなパスワード設定、スニッフィングには平文送信禁止、ブルートフォース攻撃には試行回数制限が適切です。
- 根拠:辞書攻撃は推測しやすいパスワードを狙い、スニッフィングは通信内容の盗聴、ブルートフォースは総当たり攻撃であるため、それぞれに合った対策が必要です。
- 差がつくポイント:攻撃手法の特徴を理解し、対策を正しく組み合わせることが合格の鍵となります。
正解の理由
選択肢イは、辞書攻撃に対して「ランダムな値でパスワードを設定する」ことで推測を困難にし、スニッフィングに対して「パスワードを平文で送信しない」ことで盗聴リスクを減らし、ブルートフォース攻撃に対して「ログインの試行回数に制限を設ける」ことで総当たり攻撃を防止する適切な対策を示しています。これらは攻撃の性質に即した正しい防御策であり、最も適切な組み合わせです。
よくある誤解
パスワードを複雑にするだけで全ての攻撃を防げると誤解しがちですが、通信の盗聴や試行回数の制限も重要な対策です。
また、試行回数制限は辞書攻撃にも有効ですが、ブルートフォース攻撃に特に効果的です。
また、試行回数制限は辞書攻撃にも有効ですが、ブルートフォース攻撃に特に効果的です。
解法ステップ
- 辞書攻撃の特徴を理解する(推測しやすいパスワードを狙う)。
- スニッフィングの特徴を理解する(通信内容の盗聴)。
- ブルートフォース攻撃の特徴を理解する(総当たりでパスワードを試す)。
- 各攻撃に対して最も効果的な対策を選ぶ。
- 選択肢の組み合わせが正しいかを確認する。
選択肢別の誤答解説
- ア:辞書攻撃に「パスワードを平文で送信しない」は誤り。これはスニッフィング対策。ブルートフォース攻撃に「ランダムな値でパスワードを設定する」は有効だが、スニッフィング対策が誤っている。
- イ:正解。各攻撃に対して適切な対策が正しく対応している。
- ウ:スニッフィングに「ログインの試行回数に制限を設ける」は誤り。これはブルートフォース攻撃対策。ブルートフォース攻撃に「パスワードを平文で送信しない」も誤り。
- エ:辞書攻撃に「ログインの試行回数に制限を設ける」は不十分。スニッフィングに「ランダムな値でパスワードを設定する」は無関係。ブルートフォース攻撃に「パスワードを平文で送信しない」も誤り。
補足コラム
辞書攻撃は、よく使われる単語やフレーズを組み合わせたパスワードを狙うため、パスワードの複雑化やランダム化が効果的です。
スニッフィング対策としては、SSL/TLSなどの暗号化通信を利用し、パスワードを平文で送信しないことが基本です。
ブルートフォース攻撃は試行回数が膨大になるため、ログイン試行回数の制限やアカウントロックが有効な防御策となります。
スニッフィング対策としては、SSL/TLSなどの暗号化通信を利用し、パスワードを平文で送信しないことが基本です。
ブルートフォース攻撃は試行回数が膨大になるため、ログイン試行回数の制限やアカウントロックが有効な防御策となります。
FAQ
Q: 辞書攻撃とブルートフォース攻撃の違いは何ですか?
A: 辞書攻撃は予め用意された単語リストを使いパスワードを推測するのに対し、ブルートフォース攻撃は全ての組み合わせを総当たりで試す攻撃です。
A: 辞書攻撃は予め用意された単語リストを使いパスワードを推測するのに対し、ブルートフォース攻撃は全ての組み合わせを総当たりで試す攻撃です。
Q: スニッフィング攻撃を防ぐにはどうすればよいですか?
A: 通信を暗号化し、パスワードを平文で送信しないことが基本的な対策です。
A: 通信を暗号化し、パスワードを平文で送信しないことが基本的な対策です。
Q: ログイン試行回数の制限はどの攻撃に効果的ですか?
A: 主にブルートフォース攻撃に効果的で、試行回数を制限することで総当たり攻撃を防ぎます。
A: 主にブルートフォース攻撃に効果的で、試行回数を制限することで総当たり攻撃を防ぎます。
関連キーワード: 辞書攻撃、スニッフィング、ブルートフォース攻撃、パスワードセキュリティ、ログイン試行制限、暗号化通信、パスワード管理
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!