ITパスポート過去問 令和4年度(2022年)問95
攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。
選択肢
- ア:DoS攻撃
- イ:SQLインジェクション
- ウ:パスワードリスト攻撃
- エ:フィッシング
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
他のWebサイトなどから不正に入手したIDとパスワードをまとめたリストを使い、標的のWebサイトに対して大量のログイン試行を行う攻撃は、パスワードリスト攻撃です。利用者が複数サービスで同じパスワードを使い回していることを前提に成立します。
Point
この問題は、パスワードリスト攻撃が「他のサイトで漏えいした認証情報を、標的サイトのログインに使い回す」攻撃であることを理解しているかを問うています。DoS攻撃、SQLインジェクション、フィッシングと区別できることがポイントです。
解くために必要な知識
この問題を解くには、パスワードリスト攻撃を中心に、代表的な攻撃手法が何を狙い、どのように実行されるかを整理して理解しておく必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| パスワードリスト攻撃 | 攻撃対象とは別の場所で入手したIDとパスワードの組のリストを用いて、ログインを自動試行する攻撃手法です。利用者のパスワード使い回しを前提に成立します。 |
| 認証情報 | 利用者が正規の本人であることを確認するための情報です。代表例は、ID(利用者ID)とパスワードです。 |
| DoS攻撃 | 大量のリクエストなどでサーバに負荷をかけ、サービス提供を妨害する攻撃です。認証情報の流用が中心ではありません。 |
| SQLインジェクション | Webアプリケーションの入力値の扱いの不備を利用し、SQL文を不正に実行させてデータベースを操作する攻撃です。認証情報のリストを用いたログイン試行とは異なります。 |
| フィッシング | 正規の組織を装って偽サイトに誘導し、利用者に入力させて認証情報などをだまし取る手口です。主に情報の入手が目的です。 |
選択肢ごとの解説
- ア:不正解
DoS攻撃は、サービスを利用不能にすることを目的として負荷をかける攻撃です。他サイトから入手した認証情報を使って不正ログインを試みる攻撃ではありません。
- イ:不正解
SQLインジェクションは、入力欄などに不正なSQLを混入させてデータベースを不正に操作する攻撃です。認証情報のリストを流用してログインを試す手口ではありません。
- ウ:正解
パスワードリスト攻撃は、別のサイトから入手した認証情報を大量に流用し、標的サイトで不正ログインを試行する攻撃です。問題文の説明と一致します。
- エ:不正解
フィッシングは、偽サイトなどを使って利用者から認証情報をだまし取る手口です。問題文が示す「不正に取得した大量の認証情報を流用して侵入を試みる攻撃」そのものは、パスワードリスト攻撃です。
まとめ
他のWebサイトなどから不正に入手したIDとパスワードをまとめたリストを使い、標的のWebサイトに対して大量のログイン試行を行う攻撃は、パスワードリスト攻撃です。利用者が複数サービスで同じパスワードを使い回していることを前提に成立します。
テクノロジ系 > 技術要素 > セキュリティ
DoS攻撃は、サービスを利用不能にすることを目的として負荷をかける攻撃です。他サイトから入手した認証情報を使って不正ログインを試みる攻撃ではありません。
SQLインジェクションは、入力欄などに不正なSQLを混入させてデータベースを不正に操作する攻撃です。認証情報のリストを流用してログインを試す手口ではありません。
パスワードリスト攻撃は、別のサイトから入手した認証情報を大量に流用し、標的サイトで不正ログインを試行する攻撃です。問題文の説明と一致します。
フィッシングは、偽サイトなどを使って利用者から認証情報をだまし取る手口です。問題文が示す「不正に取得した大量の認証情報を流用して侵入を試みる攻撃」そのものは、パスワードリスト攻撃です。