戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2021年 秋期

情報処理安全確保支援士試験 2021年 秋期 午前202

Pass the Hash攻撃はどれか。
パスワードのハッシュ値から導出された平文パスワードを使ってログインする。
パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。(正解)
パスワードを固定し、利用者IDの文字列のハッシュ化を繰り返しながら様々な利用者IDを試してログインする。
ハッシュ化されずに保存されている平文パスワードを使ってログインする。

解説

Pass the Hash攻撃について、わかりやすく解説します。

Pass the Hash攻撃とは?

Pass the Hash攻撃は、パスワードの「平文(生の文字列)」を使わずに、そのパスワードから生成された「ハッシュ値」だけを用いて認証を突破する攻撃手法です。
一般的に、システムではパスワードをそのまま保存せず、ハッシュ関数を用いてハッシュ値に変換したものを保存しています。ログイン時には入力されたパスワードを同じハッシュ関数でハッシュ化し、そのハッシュ値と保存されているハッシュ値を比較して認証を行います。
Pass the Hash攻撃は、このハッシュ値自体を盗み、それを使って認証をクリアする点に特徴があります。

なぜ「平文パスワードが不要」なのか?

ハッシュ関数は、一方向性関数であり、ハッシュ値から元のパスワード(平文)を計算することは基本的に不可能です。しかし、認証システムの中には、パスワードではなくハッシュ値を用いた認証トークンとして動作しているものがあります。攻撃者はこのトークン(ハッシュ値)を奪って、そのまま認証に利用できてしまいます。

選択肢の解説

  • ア: 「パスワードのハッシュ値から導出された平文パスワードを使ってログインする」
    ハッシュ値は基本的に平文に戻せません。この説明は誤りです。
  • イ: 「パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする」
    Pass the Hash攻撃の正しい説明です。盗んだハッシュ値を直接使って資格情報を偽装し、認証を突破します。
  • ウ: 「パスワードを固定し、利用者IDの文字列のハッシュ化を繰り返しながら様々な利用者IDを試してログインする」
    これは総当たりや辞書攻撃に近い方法でありPass the Hash攻撃ではありません。
  • エ: 「ハッシュ化されずに保存されている平文パスワードを使ってログインする」
    平文パスワードが盗まれた場合の攻撃ですが、Pass the Hash攻撃ではありません。

まとめ

Pass the Hash攻撃は、攻撃者がパスワードのハッシュ値そのものを盗み、そのハッシュ値を用いてログインを成功させる攻撃です。パスワードの解析(クラッキング)を行わずに認証を突破できるため、非常に危険な攻撃手法として認識されています。
セキュリティ対策としては、以下のようなものがあります。
  • ハッシュ値の管理権限を厳格に制御すること
  • 多要素認証の導入
  • リスクの高い認証トークンの使用を避ける
  • 定期的なパスワード変更とログ監視
攻撃の本質を理解することで、適切な防御策を講じることが重要です。
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ