平成28年秋期試験問題 午前問44
問44解説へ
別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃はどれか。
- パスワードリスト攻撃
- ブルートフォース攻撃
- リバースブルートフォース攻撃
- レインボー攻撃
広告
解説
- 正しい。パスワードリスト攻撃は、複数のサイトで同様のID・パスワードの組合せを使用している利用者が多いという傾向を悪用したもので、あるサイトに対する攻撃など何らかの方法で入手した認証情報のリストを用いて、複数の別のサイトへの不正ログインを試みる攻撃です。
- ブルートフォース攻撃は、特定の文字数および文字種で設定される可能性のある組合せ全てを試すことで不正ログインを試みるパスワードクラック手法です。総当り攻撃とも呼ばれます。
- リバースブルートフォース攻撃は、ブルートフォースとは逆に、パスワードを1つに固定し、利用者IDを総当りで試していくことで不正ログインを試みるパスワードクラック手法です。設定できるパスワード種が(数字4桁などのように)非常に少ないシステムに対しては、通常のブルートフォースよりも効率的に認証を突破できます。よく使用される安易なパスワード(1234・qwer・adminなど)を使用していると、この攻撃の被害を受けやすくなります。
また、様々な利用者IDを次々と試すので、一般的なアカウントロックの仕組みでは防御しにくいという性質を持ちます。 - レインボー攻撃は、想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する攻撃です。通常パスワードは漏えい対策のためにハッシュ化された状態でサーバに記録されていますが、レインボー攻撃はこのハッシュ化されたパスワードから本来のパスワードを推測することを目的としています。
広告