情報セキュリティ (全70問中34問目)
No.34
Webサーバの認証において,同じ利用者IDに対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に,その利用者IDを自動的に一定期間利用停止にするセキュリティ対策を行った。この対策によって,最も防御の効果が期待できる攻撃はどれか。
出典:平成29年春期 問81
- ゼロデイ攻撃
- パスワードリスト攻撃
- バッファオーバーフロー攻撃
- ブルートフォース攻撃
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
エ
解説
ブルートフォース攻撃(総当たり攻撃)は、パスワードクラックに用いられる手法の1つで、特定の文字数および文字種で設定される可能性のある組合せのすべてを試すことで不正ログインを試みる攻撃手法です。
手動で全ての組合せを試すのは骨が折れる作業ですが、プログラムで自動化してしまえば容易です。もし制限がないシステムであれば、無限回のログイン試行ができることになり、いつかは認証を突破されてしまいます。設問の仕組みはロックアウト機構と呼ばれ、連続したログイン試行に制限回数を設け、認証を不正に突破されにくくする効果があります。
したがって効果が期待できるのは、「エ」のブルートフォース攻撃です。
手動で全ての組合せを試すのは骨が折れる作業ですが、プログラムで自動化してしまえば容易です。もし制限がないシステムであれば、無限回のログイン試行ができることになり、いつかは認証を突破されてしまいます。設問の仕組みはロックアウト機構と呼ばれ、連続したログイン試行に制限回数を設け、認証を不正に突破されにくくする効果があります。
したがって効果が期待できるのは、「エ」のブルートフォース攻撃です。
- ゼロデイ攻撃は、あるOSやソフトウェアに脆弱性が存在することが判明し、ソフトウェアの修正プログラムがベンダーから提供されるより前に、その脆弱性を悪用して行われる攻撃の総称です。対策としては、ベンダーにて公開される一時的な回避策の適用などがあります。
- パスワードリスト攻撃は、あるサイトに対する攻撃などによって得られたIDとパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃です。対策としては、2段階認証や2要素認証などがあります。
- バッファオーバーフロー攻撃は、プログラムが確保したメモリ領域よりも大きなデータを入力データとして与えることで故意にあふれを生じさせ、はみ出た部分に不正なコードを埋め込む攻撃です。対策としてはソフトウェアパッチの適用などがあります。
- 正しい。