ホーム > 情報処理安全確保支援士試験 > 2020年 秋期
情報処理安全確保支援士試験 2020年 秋期 午前2 問04
サイドチャネル攻撃に該当するものはどれか。
ア:暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電力など)やエラーメッセージから, 攻撃対象の秘密情報を得る。(正解)
イ:企業などの秘密情報を窃取するソーシャルエンジニアリングの手法の一つであり、不用意に捨てられた秘密情報の印刷物をオフィスの紙ごみの中から探し出す。
ウ:通信を行う2者間に割り込んで, 両者が交換する情報を自分のものとすり替えることによって, その後の通信を気付かれることなく盗聴する。
エ:データベースを利用する Webサイトに入力パラメタとして SQL 文の断片を送信することによって, データベースを改ざんする。
解説
サイドチャネル攻撃に該当するものはどれか【午前2 解説】
要点まとめ
- 結論:サイドチャネル攻撃とは、物理デバイスから得られる処理時間や消費電力などの物理情報を解析して秘密情報を盗み出す攻撃です。
- 根拠:暗号アルゴリズム自体の弱点を突くのではなく、実装時の副次的な情報を利用する点が特徴です。
- 差がつくポイント:サイドチャネル攻撃は物理的な情報を利用するため、単なる通信の盗聴やSQLインジェクションとは異なる攻撃手法であることを理解しましょう。
正解の理由
選択肢アは、暗号処理を行う物理デバイスから処理時間や消費電力、エラーメッセージなどの副次的な情報を取得し、そこから秘密情報を推測する攻撃手法を説明しています。これはサイドチャネル攻撃の典型的な例であり、暗号アルゴリズムの理論的な弱点ではなく、実装の物理的特性を狙う点で正解です。
よくある誤解
サイドチャネル攻撃は単なる通信の盗聴や不正アクセスとは異なり、物理的な情報を利用する攻撃であることを混同しやすいです。
また、ソーシャルエンジニアリングやSQLインジェクションは別の攻撃手法であり、サイドチャネル攻撃には該当しません。
また、ソーシャルエンジニアリングやSQLインジェクションは別の攻撃手法であり、サイドチャネル攻撃には該当しません。
解法ステップ
- 問題文で「サイドチャネル攻撃」とは何かを正確に理解する。
- 選択肢の説明が物理的な副次情報(処理時間、消費電力など)を利用しているか確認する。
- 通信の割り込みやソーシャルエンジニアリング、SQLインジェクションなどはサイドチャネル攻撃ではないと判断する。
- 物理的な情報を利用して秘密情報を得る選択肢を選ぶ。
選択肢別の誤答解説
- ア: 暗号処理の物理的副次情報を利用する典型的なサイドチャネル攻撃で正解。
- イ: 不用意に捨てられた印刷物を探す行為はソーシャルエンジニアリングの一種であり、サイドチャネル攻撃ではない。
- ウ: 通信の途中で情報をすり替える行為は中間者攻撃(MITM)であり、サイドチャネル攻撃とは異なる。
- エ: SQL文の断片を送信してデータベースを改ざんするのはSQLインジェクション攻撃であり、サイドチャネル攻撃ではない。
補足コラム
サイドチャネル攻撃は、暗号アルゴリズムの理論的な安全性を破るのではなく、実装時の物理的な特性を狙うため、対策にはハードウェアの設計改善や処理のランダム化、ノイズの導入などが有効です。近年はIoT機器やスマートカードなどの普及により、サイドチャネル攻撃のリスクが高まっています。
FAQ
Q: サイドチャネル攻撃はどのような情報を利用しますか?
A: 処理時間、消費電力、電磁波、エラーメッセージなどの物理的な副次情報を利用します。
A: 処理時間、消費電力、電磁波、エラーメッセージなどの物理的な副次情報を利用します。
Q: サイドチャネル攻撃と中間者攻撃はどう違いますか?
A: サイドチャネル攻撃は物理的な情報を解析して秘密情報を得る攻撃で、中間者攻撃は通信経路に割り込んで情報を盗聴・改ざんする攻撃です。
A: サイドチャネル攻撃は物理的な情報を解析して秘密情報を得る攻撃で、中間者攻撃は通信経路に割り込んで情報を盗聴・改ざんする攻撃です。
関連キーワード: サイドチャネル攻撃, 暗号解析, 消費電力解析, 中間者攻撃, SQLインジェクション, ソーシャルエンジニアリング