情報処理安全確保支援士試験 2023年 春期 午前2 問02
Pass the Hash 攻撃はどれか。
ア:パスワードのハッシュ値から導出された平文パスワードを使ってログインする。
イ:パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。(正解)
ウ:パスワードを固定し,利用者IDの文字列のハッシュ化を繰り返しながら様々な利用者IDを試してログインする。
エ:ハッシュ化されずに保存されている平文パスワードを使ってログインする。
解説
Pass the Hash 攻撃はどれか。【午前2 解説】
要点まとめ
- 結論:Pass the Hash攻撃はパスワードのハッシュ値だけで認証を突破する攻撃手法です。
- 根拠:Windows認証などでハッシュ値を直接使う仕組みを悪用し、平文パスワードを知らなくてもログイン可能になります。
- 差がつくポイント:ハッシュ値を復号せずにそのまま認証に使う点を理解し、平文パスワードの取得や総当たり攻撃と混同しないことが重要です。
正解の理由
Pass the Hash攻撃は、パスワードのハッシュ値を盗み出し、そのハッシュ値を使って認証を突破する攻撃です。パスワードの平文を復元することなく、ハッシュ値を直接認証情報として利用するため、ハッシュ値の管理が非常に重要になります。選択肢イは「パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする」とあり、これがPass the Hash攻撃の本質を正確に表しています。
よくある誤解
Pass the Hash攻撃はハッシュ値から平文パスワードを復元する攻撃ではありません。ハッシュ値をそのまま使うため、平文パスワードの解析や総当たり攻撃とは異なります。
解法ステップ
- 問題文の「Pass the Hash攻撃」の意味を確認する。
- 各選択肢の内容を「ハッシュ値の使い方」に注目して読み解く。
- 「ハッシュ値を直接使ってログインする」説明がある選択肢を探す。
- 平文パスワードの復元や総当たり攻撃と混同しない。
- 選択肢イがPass the Hash攻撃の定義に合致するため正解と判断する。
選択肢別の誤答解説ステップ
- ア: ハッシュ値から平文パスワードを導出してログインするのは「パスワード解析攻撃」であり、Pass the Hash攻撃とは異なります。
- イ: パスワードのハッシュ値だけでログインできる仕組みを悪用するため、Pass the Hash攻撃の正しい説明です。
- ウ: 利用者IDのハッシュ化を繰り返すのは総当たりや辞書攻撃の一種であり、Pass the Hash攻撃ではありません。
- エ: 平文パスワードを使うのは単純なパスワード盗用であり、ハッシュ値を直接使うPass the Hash攻撃とは異なります。
補足コラム
Pass the Hash攻撃は主にWindows環境で問題となり、NTLM認証の仕組みを悪用します。ハッシュ値を盗まれた場合、攻撃者はパスワードを知らなくてもネットワーク内の他のシステムに不正アクセス可能です。対策としては多要素認証の導入やハッシュ値の保護、最小権限の原則の徹底が重要です。
FAQ
Q: Pass the Hash攻撃はどのようにハッシュ値を入手しますか?
A: マルウェア感染やメモリダンプ、ネットワークスニッフィングなどでハッシュ値を盗み出します。
A: マルウェア感染やメモリダンプ、ネットワークスニッフィングなどでハッシュ値を盗み出します。
Q: ハッシュ値を盗まれたら必ず攻撃されますか?
A: 盗まれたハッシュ値が使われる環境のセキュリティ設定によりますが、リスクは非常に高いです。
A: 盗まれたハッシュ値が使われる環境のセキュリティ設定によりますが、リスクは非常に高いです。
Q: Pass the Hash攻撃を防ぐにはどうすればよいですか?
A: パスワードの使い回しを避け、多要素認証を導入し、管理者権限の使用を制限することが効果的です。
A: パスワードの使い回しを避け、多要素認証を導入し、管理者権限の使用を制限することが効果的です。
関連キーワード: Pass the Hash攻撃, ハッシュ認証, NTLM認証, パスワードハッシュ, Windowsセキュリティ, 多要素認証, 認証攻撃