平成31年度春 応用情報技術者試験 午前 問36から問40

問題文はIPAからの引用です。


問36

情報セキュリティにおけるエクスプロイトコードの説明はどれか。

ア 同じセキュリティ機能をもつ製品に乗り換える場合に、CSV形式など他の製品に取り込むことができる形式でファイルを出力するプログラム

イ コンピュータに接続されたハードディスクなどの外部記憶装置や、その中に保存されている暗号化されたファイルなどを閲覧、管理するソフトウェア

ウ セキュリティ製品を設計する際の早い段階から実際に動作する試作品を作成し、それに対する利用者の反応を見ながら徐々に完成に近づける開発手法

エ ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム

情報セキュリティにおけるエクスプロイトコードの説明は「エ ソフトウェアやハードウェアの脆弱性を検査するために作成されたプログラム」です!


問37

リスクベース認証の特徴はどれか。

ア Webブラウザに格納しているパスワード情報が使用できず、かつ、利用者が認証情報を忘れても、救済することによって、普段どおりにシステムが利用できる。

イ いかなる環境からの認証の要求においても認証方法を変更せずに、同ーの手順によって普段どおりにシステムが利用できるように利便性を高める。

ウ ハードウェアトークンとパスワードを併用させるなど、認証要求元の環境によらず二つの認証方式を併用することによって、安全性を高める。

エ 普段と異なる環境からのアクセスと判断した場合、追加の本人認証をすることによって、一定の利便性を保ちながら、不正アクセスに対抗し安全性を高める。

リスクベース認証の特徴は「ウ ハードウェアトークンとパスワードを併用させるなど、認証要求元の環境によらず二つの認証方式を併用することによって、安全性を高める。」です!


問38

パスワードクラック手法の一種である、レインボー攻撃に該当するものはどれか。

ア 何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき、複数のシステム間で使い回されている利用者IDとパスワードの組みを狙って、ログインを試行する。

イ パスワードに成リ得る文字列の全てを用いて、総当たりでログインを試行する。

ウ 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき、それを用いて、不正に入手したハッシュ値からパスワードを解読する。

エ 利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して、パスワードを類推する。

正解は「ウ 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき、それを用いて、不正に入手したハッシュ値からパスワードを解読する。」です!


問39

ディジタルフォレンジックスの手順を収集、検査、分析、報告に分けたとき、そのいずれかに該当するものはどれか。

ア サーバとネットワーク機器のログをログ管理サーバに集約し、リアルタイムに相関分析することによって、不正アクセスを検出する。

イ ディスクを解析し、削除されたログファイルを復元することによって、不正アクセスの痕跡を発見する。

ウ 電子メールを外部に送る際に、本文及び添付ファイルを暗号化することによって、情報漏えいを防ぐ。

エ プログラムを実行する際に、プログラムファイルのハッシュ値と脅威情報を突き合わせることによって、マルウェアを発見する。

ディジタルフォレンジックスの手順を収集、検査、分析、報告に分けたとき、そのいずれかに該当するものは「イ ディスクを解析し、削除されたログファイルを復元することによって、不正アクセスの痕跡を発見する。」です!

分析に該当します!


問40

DNSSECについての記述のうち、適切なものはどれか。

ア DNSサーバへの問合せ時の送信元ポート番号をランダムに選択することによって、DNS問合せへの不正な応答を防止する。

イ DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって、DNSを悪用したDoS攻撃を防止する。

ウ 共通鍵暗号方式によるメッセージ認証を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。

エ 公開鍵暗号方式によるディジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。

DNSSECについての記述のうち、適切なものは「エ 公開鍵暗号方式によるディジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる。」です!

ディジタル署名を使うことでDNSをセキュアにします。DNSキャッシュポイズニングの防衛策です。

目次