ホーム > 情報処理安全確保支援士試験 > 2017年 春期
情報処理安全確保支援士試験 2017年 春期 午前2 問03
サイドチャネル攻撃の説明はどれか。
ア:暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、攻撃対象の機密情報を得る。(正解)
イ:企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ごみの中から探し出す。
ウ:通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。
エ:データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって,データベースを改ざんする。
解説
サイドチャネル攻撃の説明はどれか【午前2 解説】
要点まとめ
- 結論:サイドチャネル攻撃とは、物理デバイスから得られる処理時間や消費電流などの物理量を解析して機密情報を盗み出す攻撃手法です。
- 根拠:暗号アルゴリズム自体の弱点を突くのではなく、実装時の物理的な情報漏洩を利用する点が特徴です。
- 差がつくポイント:単なる通信盗聴やソーシャルエンジニアリングと混同せず、物理的な副次情報を攻撃に利用する点を理解しましょう。
正解の理由
アは、暗号処理を行う物理デバイスから処理時間や消費電流、エラーメッセージなどの副次的な情報を取得し、それを解析して機密情報を推測する攻撃手法を正確に説明しています。これはサイドチャネル攻撃の典型的な定義であり、暗号アルゴリズムの理論的な安全性とは別に、実装面の脆弱性を突くものです。
よくある誤解
サイドチャネル攻撃は単なる通信の盗聴や情報の詐取ではなく、物理的な情報漏洩を利用する点が誤解されやすいです。ソーシャルエンジニアリングやSQLインジェクションとは全く異なる攻撃手法です。
解法ステップ
- 問題文の「サイドチャネル攻撃」の定義を確認する。
- 選択肢の内容が物理的な副次情報(処理時間、消費電流など)を利用しているかを判断する。
- 通信盗聴やソーシャルエンジニアリング、SQLインジェクションなど他の攻撃手法と区別する。
- 物理的な情報漏洩を利用する説明がある選択肢を正解とする。
選択肢別の誤答解説
- ア:正解。物理デバイスからの副次情報を利用し機密情報を得る攻撃で、サイドチャネル攻撃の本質を捉えています。
- イ:誤り。これはソーシャルエンジニアリングの一種で、サイドチャネル攻撃とは異なります。
- ウ:誤り。通信の途中で情報をすり替える「中間者攻撃(MITM)」の説明であり、サイドチャネル攻撃ではありません。
- エ:誤り。SQLインジェクション攻撃の説明で、サイドチャネル攻撃とは全く異なる攻撃手法です。
補足コラム
サイドチャネル攻撃は、暗号アルゴリズムの理論的な安全性を破るのではなく、実装時の物理的な情報漏洩を狙います。代表的な手法には、処理時間の差を測定するタイミング攻撃や、消費電力の変動を解析する電力解析攻撃があります。これらはハードウェアの設計やソフトウェアの実装で対策が求められます。
FAQ
Q: サイドチャネル攻撃はどのような情報を利用しますか?
A: 処理時間、消費電流、電磁波、エラーメッセージなど、暗号処理時に発生する物理的な副次情報を利用します。
A: 処理時間、消費電流、電磁波、エラーメッセージなど、暗号処理時に発生する物理的な副次情報を利用します。
Q: サイドチャネル攻撃と中間者攻撃はどう違いますか?
A: サイドチャネル攻撃は物理的な情報漏洩を利用するのに対し、中間者攻撃は通信経路に割り込んで情報を盗聴・改ざんする攻撃です。
A: サイドチャネル攻撃は物理的な情報漏洩を利用するのに対し、中間者攻撃は通信経路に割り込んで情報を盗聴・改ざんする攻撃です。
関連キーワード: サイドチャネル攻撃, タイミング攻撃, 電力解析攻撃, 中間者攻撃, SQLインジェクション, ソーシャルエンジニアリング