基本情報技術者令和3年免除 問38

問38

リバースブルートフォース攻撃に該当するものはどれか。
  • 攻撃者が何らかの方法で事前に入手した利用者IDとパスワードの組みのリストを使用して,ログインを試行する。
  • パスワードを一つ選び,利用者IDとして次々に文字列を用意して総当たりにログインを試行する。
  • 利用者ID,及びその利用者IDと同一の文字列であるパスワードの組みを次々に生成してログインを試行する。
  • 利用者IDを一つ選び,パスワードとして次々に文字列を用意して総当たりにログインを試行する。
  • [出典]
  • 午前免除試験 R3-6月 問38
  • 情報セキュマネ R1 問19と同題

分類

テクノロジ系 » セキュリティ » 情報セキュリティ

正解

解説

リバースブルートフォース攻撃は、ブルートフォース攻撃が攻撃対象IDを固定してパスワードを総当たりで試すのとは逆に、パスワードを1つに固定し、利用者IDを総当りで試していくことで不正ログインを試みるパスワードクラック手法です。設定できるパスワード種が(数字4桁などのように)非常に少ないシステムに対しては、通常のブルートフォースよりも効率的に認証を突破できます。よく使用される安易なパスワード(1234・qwer・adminなど)を使用していると、この攻撃の被害を受けやすくなります。また、様々な利用者IDを次々と試すので、一般的なアカウントロックの仕組みでは防御しにくいという性質を持ちます。

したがって「イ」の記述が適切です。
  • パスワードリスト攻撃の説明です。
  • 正しい。リバースブルートフォース攻撃の説明です。
  • ジョーアカウント攻撃の説明です。
  • ブルートフォース攻撃(総当たり攻撃)の説明です。
© 2010- 基本情報技術者試験ドットコム All Rights Reserved.

Pagetop