令和7年試験問題 問70
問70解説へ
情報セキュリティにおける脅威のうち,脆弱性を是正するセキュリティパッチをソフトウェアに適用することが最も有効な対策になるものはどれか。
- 総当たり攻撃
- ソーシャルエンジニアリング
- パスワードリスト攻撃
- バッファオーバーフロー
広告
解説
- 総当たり攻撃は、全てのパスワードの組合せを試行して不正ログインを狙う攻撃です。この攻撃に係る脆弱性は、パスワードの長さ、使用できる文字種、連続失敗時にロックアウトする仕組みなどWebアプリケーションの実装上の問題から生じるため、セキュリティパッチを当てても対策できません。
- ソーシャルエンジニアリングは、情報通信技術の方法を用いるのではなく、人のミスや心理的な隙に付け込むことでパスワードなどの秘密情報を不正に取得する行為です。人間の心理的な弱みを狙うので、セキュリティパッチを当てても対策できません。
- パスワードリスト攻撃は、他のサイトに対する攻撃などによって得られたID・パスワードのリストを用いて、別のサイトへの不正ログインを狙う攻撃です。同じパスワードの使いまわしが原因なので、セキュリティパッチを当てても対策できません。2段階認証やワンタイムパスワード、ログイン履歴の表示、ログイン通知などWebアプリケーション側で対策を行います。
- 正しい。バッファオーバーフローは、プログラムが確保したメモリ領域(バッファ)よりも大きなデータを故意に読み込ませることで、メモリ領域からあふれた部分に不正なデータを書き込み、不正な処理をさせる攻撃です。OSやプログラム言語の実装上のセキュリティホールを狙って仕掛けられるので、セキュリティパッチを当てて脆弱性をふさぐことが有効な対策となります。
広告