応用情報技術者試験

応用情報・セキュリティを解く(H27秋)前編

今回は、平成 27 年度(2015 年度)秋期の「応用情報技術者試験」の過去問(午後 問1 情報セキュリティ)を解いていきます。

前編では、主にパスワードに対する攻撃について、解説していきます。

  • IPA の情報処理技術者試験 過去問題のページから、問題冊子をダウンロードしておいてください
  • 二重カッコ『 』は、問題文や解答からの引用を表します
  • このエントリでは、設問 1、設問 2、設問 3 の (1) を解説します。残りは、別のエントリで解説します

解説

今回取り扱う、設問 1、設問 2、設問 3 (1) は、かなり易しいです。正解は、マストです。

設問 1

まぎらわしい選択肢(以下、肢)はありません。わからなかった用語は、ここで覚えておきましょう。

空欄 a

設定されていたパスワードが氏名と誕生日を組み合わせた単純なものであったことが判明したので、今回の攻撃は、    a     である可能性が高いと判断した。

攻撃者は、氏名と誕生日を組み合わせたパスワードを「類推」したのです。
ということで、正解は、エ. 類推攻撃 です。
他の肢が、正解からあまりにかけ離れているので、これしかありません。

他の肢については、下記の「整理」にて、詳しく解説しています。

空欄 b

アカウント名とパスワードの組合わせが第三者に知られたことから、     b     に備えて、P-SNS と同じパスワードを設定している他のサービスについてもパスワードを変更するように、Q さんにアドバイスした。

アカウント名とパスワードの組合わせのリストを作成し、それをもとにログインを試みる攻撃ですので、正解は、ウ. パスワードリスト攻撃 になります。

「パスワードリスト攻撃」は、次の問題でおさえておきましょう。

パスワードリスト攻撃に該当するものはどれか。

ア. 一般的な単語や人名からパスワードのリストを作成し、インターネットバンキングへのログインを試行する。
イ. 想定され得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する。
ウ. どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する。
エ. ピクチャパスワードの入力を録画してリスト化しておき、それを利用することでタブレット端末へのログインを試行する。

《応用情報技術者 H27春 午前 問39》

ア. 辞書攻撃のことです。イ. レインボー攻撃のことです。ウ. これが、パスワードリスト攻撃です。エ. ピクチャパスワードとは、タブレット端末で画像を選び、その上でジェスチャをする(直線や円を書く、タップするなど)ことでログインをする方式です。

設問 2

下線 ① の、『攻撃の足掛かりとなる情報』について問われています。

公開範囲の設定ができない情報の中にこれらの攻撃の足掛かりとなるものがあり、不正ログインにつながるリスクが高いと考えた。

図 1. P-SNS のマイページのイメージを見ればよさそうです。

  • ニックネーム(問題文で除かれている)
  • アカウント名
  • 日記(公開範囲の設定ができる)
  • 写真(公開範囲の設定ができる)
  • プロフィール(問題文で除かれている)

ということで、正解は、アカウント名 です。「アカウント名」が漏れても、「パスワード」が漏れなければ、ログインはされません。しかし、「アカウント名」がわかってしまうと、攻撃の手数を減らしてしまうことになりますことになります。その意味で「アカウント名」は、「攻撃の足掛かり」となる情報なのです。

設問 3 (1)

アカウント名とパスワードの設定ポリシを見直して、悪意をもった第三者が P-SNS に不正ログインしにくくする(= 対策 1)について、類推攻撃(= Q さんのアカウントへの攻撃手法)に対する対策として有効ではないものが問われている。

記号 コメント
英和辞典にある英単語の利用禁止 『英和辞典にある英単語』を登録できなくすれば、類推しにくくなる
パスワード中に会員情報として登録した文字列を含めることの禁止 『会員情報として登録した文字列』を登録できなくすれば、類推しにくくなる
パスワードに記号文字を含めることの必須化 『記号文字を含める』と類推しにくくなる
半年以上ログイン実績がないアカウントの利用停止 パスワードの類推に関係ない

ということで、正解は、「エ. 半年以上ログイン実績がないアカウントの利用停止」となります。この問題も、絶対に落とせません。

整理

攻撃に関する用語がたくさんでてきました。過去問知識は、はずせません。覚えるしかないです。

設問 1 a の肢

用語をおさえておきましょう。まずは、設問 1 a の肢である「DoS 攻撃」、「サイドチャネル攻撃」、「標的型攻撃」です。

DoS 攻撃」とは、『サービスを妨害する(IT パスポートH21春 問68)』攻撃です。例えば、『電子メールや Web リクエストなどを大量に送り付けて、ネットワーク上のサービスを提供不能に(IT パスポートH25春 問52)』します。不正プログラムに感染した多数のコンピュータから一斉に行う DoS 攻撃のことを、特に『DDoS 攻撃』と呼びます。
応用情報・セキュリティを解く(H26春)後編」も参考にしてください。

サイドチャネル攻撃」は、『暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、攻撃対象の機密情報を得る(情報セキュリティスペシャリスト H25春 午前2 問5)』。
真っ向から暗号解読をして機密情報を得るのではなく、サイド(脇の)チャネル(方法、経路)を使うニュアンスでしょうか。

標的型攻撃」とは、特定の組織を狙った攻撃のことです。
その中でも、『標的組織の従業員が頻繁にアクセスする Web サイトに攻撃コードを埋め込み、標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする(応用情報技術者 H29春 午前 問40)』攻撃を、「水飲み場型攻撃」と呼びます。『ライオンが水飲み場のそばで水を飲みに来る獲物を待ち伏せすることになぞらえた(ウィキペディア)』とのことです。

設問 1 b の肢

こちらも、用語をおさえておきましょう。設問 1 b の肢である「ゼロデイ攻撃」、「総当たり攻撃」、「フィッシング攻撃」です。

ゼロデイ攻撃」については、次の問題でおさえましょう。

ゼロデイ攻撃の特徴はどれか。

ア. セキュリティパッチが提供される前に攻撃する。
イ. 特定のサイトに対し、日時を決めて、複数台の PC から同時に攻撃する。
ウ. 特定のターゲットに対し、フィッシングメールを送信して不正サイトへ誘導する。
エ. 不正中継が可能なメールサーバを見つけた後、それを踏み台にチェーンメールを大量に送信する。

《応用情報技術者 H23特別 午前 問44》

ア. ゼロデイ攻撃のことです。イ. 前述したとおり、DDoS 攻撃のことです。ウ. 後で見ますが、フィッシングのことです。エ. 第三者中継(Third-Party Mail Relay)を悪用した攻撃のことです。

総当たり攻撃(ブルートフォース攻撃)」についても、次の問題でおさえましょう。

ブルートフォース攻撃に該当するものはどれか。

ア. Web ブラウザと Web サーバの間の通信で、認証が成功してセッションが開始されているときに、Cookie などのセッション情報を盗む
イ. 可能性がある文字のあらゆる組合せのパスワードでログインを試みる。
ウ. コンピュータへのキ一入力を全て記録して外部に送信する。
エ. 盗聴者が正当な利用者のログインシーケンスそのまま記録してサーバに送信する。

《応用情報技術者 H27秋 午前 問44》

ア. セッションハイジャックのことです。Cookie については、後編で解説します。イ. これです。ブルートフォース攻撃(総当たり攻撃)です。ウ. キーロガーのことです。エ. リプレイ攻撃のことです。

なお、ブルートフォース攻撃は、パスワードクラック以外でも用いられます。

暗号解読の手法のうち、ブルートフォース攻撃はどれか。

ア. 与えられた1組の平文と暗号文に対し、総当たりで鍵を割り出す。
イ. 暗号化関数の統計的な偏りを線形関数によって近似して解読する。
ウ. 暗号化装置の動作を電磁波から解析することによって解読する。
エ. 異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。

《応用情報技術者 H25春 午前 問38》

ア. ブルートフォース攻撃総当たり攻撃)のことです。イ. 線形解読法のことです。おさえなくてよいです。ウ. 前述した、サイドチャネル攻撃のことです。エ. 差分解読法のことです。これも、おさえなくてよいです。

フィッシング攻撃」についても、次の問題でおさえましょう。

フィッシング(phishing)による被害はどれか。

ア. インターネットからソフトウェアをダウンロードしてインストールしたところ、設定したはずのない広告がデスクトップ上に表示されるようになった。
イ. インターネット上の多数のコンピュータから、公開しているサーバに一斉にパケットが送り込まれたので、当該サーバが一時使用不能になった。
ウ. 知人から送信されてきた電子メールに添付されていたファイルを実行したところ、ハードディスク上にあった全てのファイルを消失してしまった。
エ. “本人情報の再確認が必要なので入力してください” という電子メールで示されたURLにアクセスし、個人情報を入力したところ、詐取された。

《応用情報技術者 H23秋 午前 問39》

ア. スパイウェア(の一種、アドウェア)です。イ. DDoS 攻撃です。ウ. マルウェアによる攻撃です。エ. フィッシングです。電子メールにあった URL は、本物のサイトを模したサイト(=フィッシングサイト)への URL です。

復習

それでは、ざっと復習しましょう。今回は、用語の意味ですね。

おさらい

パスワードクラック

  • パスワードリスト攻撃:アカウント名とパスワードの組合わせのリストによる試行
  • 辞書攻撃:一般的な単語や人名からパスワードのリストによる試行
  • レインボー攻撃:想定され得るパスワードとそのハッシュ値との対のリストにより効率的に解析
  • 総当たり攻撃(ブルートフォース攻撃):可能性がある文字のあらゆる組合せのアカウント名とパスワードによる試行

 その他の攻撃

  • DoS 攻撃:サービスを妨害する攻撃。特に、複数台の PC から同時に行う攻撃が DDoS 攻撃
  • サイドチャネル攻撃:物理量(処理時間や消費電流など)から機密情報を取得する
  • 標的型攻撃:特定の組織を狙った攻撃
  • ゼロデイ攻撃:セキュリティパッチが提供される前(あるいは、提供されると同時)の攻撃
  • フィッシング:電子メールなどにより、本物のサイトを模したサイト(=フィッシングサイト)へ誘導し、個人情報を入力させて、詐取する方法

今回は、ここまでとします。

COMMENT

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です