ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問05
サイドチャネル攻撃の説明はどれか。
ア:暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、攻撃対象の機密情報を得る。(正解)
イ:企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミの中から探し出す。
ウ:通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。
エ:データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって,データベースを改ざんする。
解説
サイドチャネル攻撃の説明はどれか。【午前2 解説】
要点まとめ
- 結論:サイドチャネル攻撃とは、物理デバイスから得られる処理時間や消費電流などの物理量を解析して機密情報を盗み出す攻撃手法です。
- 根拠:暗号アルゴリズム自体の弱点を突くのではなく、実装された装置の副次的な情報を利用する点が特徴です。
- 差がつくポイント:攻撃対象の物理的な挙動やエラーメッセージを利用する点を正確に理解し、他の攻撃手法と混同しないことが重要です。
正解の理由
選択肢アは、暗号アルゴリズムを実装した物理デバイスから処理時間や消費電流、エラーメッセージなどの副次的な情報を取得し、そこから機密情報を推測する攻撃手法を正しく説明しています。これはサイドチャネル攻撃の典型的な定義であり、暗号の理論的な弱点ではなく、実装上の物理的な情報漏洩を狙う点がポイントです。
よくある誤解
サイドチャネル攻撃は単なる通信の盗聴やソーシャルエンジニアリングとは異なり、物理的な情報を解析する攻撃であることを混同しやすいです。
解法ステップ
- 問題文の「サイドチャネル攻撃」の意味を確認する。
- 各選択肢の説明がサイドチャネル攻撃の定義に合致するかを検討する。
- 物理的な副次情報(処理時間、消費電流など)を利用する説明があるかを探す。
- それ以外の選択肢は別の攻撃手法(ソーシャルエンジニアリング、中間者攻撃、SQLインジェクション)であることを判別する。
- 最も適切な選択肢を選ぶ。
選択肢別の誤答解説
- ア: 正解。物理デバイスの副次的情報を利用して機密情報を得る攻撃で、サイドチャネル攻撃の定義に合致。
- イ: ソーシャルエンジニアリングの一種で、物理的な情報漏洩を狙うがサイドチャネル攻撃ではない。
- ウ: 中間者攻撃(Man-in-the-Middle)であり、通信の盗聴や改ざんを行う手法。
- エ: SQLインジェクション攻撃で、Webアプリケーションの脆弱性を突く攻撃手法。
補足コラム
サイドチャネル攻撃は、処理時間の差異を利用するタイミング攻撃や、消費電力の変動を解析する電力解析攻撃など多様な手法があります。これらは暗号理論の弱点ではなく、実装やハードウェアの特性を狙うため、対策には物理的な防御や実装の工夫が必要です。
FAQ
Q: サイドチャネル攻撃はどのような情報を利用しますか?
A: 処理時間、消費電流、電磁波、エラーメッセージなどの物理的な副次情報を利用します。
A: 処理時間、消費電流、電磁波、エラーメッセージなどの物理的な副次情報を利用します。
Q: サイドチャネル攻撃と中間者攻撃の違いは何ですか?
A: サイドチャネル攻撃は物理デバイスの副次情報を解析する攻撃で、中間者攻撃は通信経路に割り込んで情報を盗聴・改ざんする攻撃です。
A: サイドチャネル攻撃は物理デバイスの副次情報を解析する攻撃で、中間者攻撃は通信経路に割り込んで情報を盗聴・改ざんする攻撃です。
関連キーワード: サイドチャネル攻撃, タイミング攻撃, 電力解析攻撃, 中間者攻撃, SQLインジェクション, ソーシャルエンジニアリング