平成31年春期 午後問題1
ファイル:2019h31h_ap_pm_qs.pdf
1、パスワードに対する主な攻撃
1)総当たり攻撃 or ブレークフォース攻撃
ブルートフォースアタック(総当たり攻撃)とは、「ブルートフォース(brute force)」という言葉の意味(「強引な」とか「力ずく」)を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。
2)パスワード類推攻撃とは、
不正アクセスなどを目的にパスワードを不正取得しようとする攻撃(パスワードクラック)方法のうち、攻撃者がターゲットの身上からパスワードに設定されていそうな文字列を推定してログインを試みる方法のことである。
パスワード類推攻撃は、ターゲットの個人情報を手がかりとして行われる。ターゲットが安直なパスワードを設定していた場合には、攻撃が成功しやすい。パスワードには名前と誕生日の組み合わせや、出身地・出身校の名にちなんだ文字列などが用いられやすい傾向にあり、何度か試行するだけでパスワード類推攻撃が成功できてしまう場合も少なくない。
パスワード類推攻撃を阻止するためには、できるだけ安直でなく身辺情報から類推されにくいパスワードを設定して管理する取り組みや、2ステップ認証などを設定するといった取り組みが重要となる。
3)辞書攻撃(Dictionary Attack)とは、
パスワードの割り出しや暗号の解読に使われる攻撃手法で辞書にある単語を使う方法のことです。
パスワード破りに使用する際には、辞書にある単語を片端から入力して試すことを繰り返します。覚えやすいように意味のある単語をパスワードとして登録した場合が多いためこのような攻撃手法があります。
4)、パスワードリスト攻撃とは、
攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。ユーザー本人になりすましてアクセスするため、不正かどうか判断しにくいという特徴があります。
パスワードリスト攻撃の元になるのは、他のWebサイトから流出したユーザIDとパスワードのリストです。
本来は、Webサイトからこうした機密情報が流出すること自体あってはならないのですが、攻撃者の巧みな攻撃によって流出する事件が後を絶ちません。
2、デジタル証明書 【 digital certificate 】 電子証明書 / electronic certificate
デジタル証明書とは、暗号化やデジタル署名に用いる公開鍵暗号の公開鍵を配送する際に、受信者が鍵の所有者を確認するために添付される一連のデータセットのこと。一般的には認証局(CA:Certificate Authority)と呼ばれる機関が発行する。
3、パスフレーズとは、 passphrase
認証(本人確認)を行うための文字列であるパスワードの中でも、特に使用される文字数が長大であるパスワードのことである。パスフレーズは通常よりも高度なセキュリティを施したい場合の認証技術として用いられる。
通常のパスワードが1単語程度のものであるのに対し、パスフレーズは1文節1句(フレーズ)に及ぶ長さになる。そのためパスワードクラックに非常に強くなる。複数の単語で構成される場合が多いため、辞書に登録されている単語を総ざらいして解析を試みる「辞書攻撃」(ディクショナリーアタック)を回避することができ、また、単純な文字列として考えられる組み合わせのパターンが飛躍的に増大するので、文字列の組み合わせを総ざらいして解析を試みる「ブルートフォース攻撃」によっても認証が解かれる危険性が大幅に低減する。
4、表1の項番1の攻撃に有効であるが、交番2の攻撃には効果が期待できない対策を”パスワード”という字句を用いて、20字以内で答えよ。
パスワーを保護し、窃取・解析しにくいから
→
パスワード入力試行回数の上限値の設定
全然、私は、質問は理解していないですね。
普通は、我々は、利用しているECサイト、例えAMAZON、楽天などが、試行回数の上限値が設定されていますね。
5、本文の下線②について、ハッシュ化する理由を、ハッシュ化の特性を踏まえ、25字以内で述べよ。
ハッシュ化したパスワードが窃取されても使えないから
→
ハッシュ値からパスワードの割り出しは難しいから
6、レインボー攻撃とは、(rainbow )
あるハッシュ値をもとにして、そこから暗号化される前の文(平文)を解読しようとする攻撃手法の一つである。
ハッシュ値のテーブルと、平文のテーブルを作成し、ハッシュ値と平文のペアをたくさんテーブルに入れておき、攻撃対象のパスワードをハッシュ値に変換したものと、テーブルのハッシュ値を比較することにより行う。
同じものが存在した場合、そのハッシュ値のペアから平文が解読される。
7、本文中の下線③の処理によって、パスワードの割り出しがしにくくなる最も適切な理由は何でしょうか。
アカウント情報が摂取されてもソルトの値が不明だけら
→
Rテーブルの作成が難しくなるから
ユーザーごとに、異なるソルトを付加すると、有効なRテーブルの作成は難しくなりますね。
8、本文中の下線④について、パスワードの使い回しによって、M社ECサイトで発生するリスクを、35字以内で述べよ。
他サイトでパスワードが窃取されると、M社ECサイトで攻撃できてしまうから
→
他サイトから流出したパスワードによって、不正ログインされる
AP試験の午後質問は難しいところは、やっぱり論述ですね。
参考:
ブルートフォースアタック(総当たり攻撃)とは?
https://cybersecurity-jp.com/topics/17426
パスワードリスト攻撃とは?
https://cybersecurity-jp.com/security-measures/18665
レインボーテーブルとは?
https://it-trend.jp/encryption/article/64-0067
http://www.ne.senshu-u.ac.jp/~proj28-19/tobe/goku-main/goku_rainbow-attack.html#:~:text=%E3%81%82%E3%82%8B%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5%E5%80%A4%E3%82%92%E3%82%82,%E6%AF%94%E8%BC%83%E3%81%99%E3%82%8B%E3%81%93%E3%81%A8%E3%81%AB%E3%82%88%E3%82%8A%E8%A1%8C%E3%81%86%E3%80%82