問59

ITパスポート過去問平成31年度（2019年）問59

ログイン機能をもつWebサイトに対する，パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして，最も適切なものはどれか。

選択肢

正解：イ

あなたの回答：未回答

パスワードの盗聴は、通信中の情報が第三者に読まれることが原因なので、暗号化された通信でパスワードを送信する対策が適切です。総当たり攻撃は、パスワードを何度も試して突破を狙うため、パスワードの入力試行回数を制限する対策が適切です。これらの組合せになっているのは「イ」です。

ア：不正解: 盗聴への対策として、暗号化された通信でパスワードを送信するのは適切です。一方、総当たり攻撃への対策としてのシングルサインオンは適切ではありません。シングルサインオンは認証をまとめる仕組みであり、入力を何度も試す行為そのものを止める対策ではありません。

イ：正解: 盗聴への対策として、暗号化された通信でパスワードを送信するのは適切です。総当たり攻撃への対策として、パスワードの入力試行回数を制限するのも適切です。両方を満たすため、これが正解です。

ウ：不正解: 推測が難しい文字列をパスワードに設定することは、パスワードを当てにくくする対策です。しかし盗聴は、通信中にパスワードそのものが取得されるため、推測が難しくても盗聴対策にはなりません。また、総当たり攻撃への対策としてのシングルサインオンも適切ではありません。

エ：不正解: パスワードの入力試行回数を制限することは、総当たり攻撃への対策として適切です。一方、推測が難しい文字列をパスワードに設定しても、通信中に盗聴されればパスワード自体が取得されるため、盗聴対策にはなりません。

盗聴と総当たり攻撃は、攻撃が成立する原因が異なります。この問題では、原因に対応した基本対策として、盗聴には暗号化通信、総当たり攻撃には入力試行回数制限を選べるかを確認します。

この問題を解くには、攻撃手法ごとに「何を狙う攻撃か」と「対策がどこに効くか」を理解している必要があります。

用語	内容
パスワードの盗聴	通信経路上のデータを第三者が傍受して読み取ることです。
総当たり攻撃（ブルートフォース攻撃）	パスワード候補を多数試して認証を突破しようとすることです。
暗号化された通信	送受信データを暗号化して、通信途中で内容を読み取られにくくすることです。HTTPSなどが該当します。
パスワードの入力試行回数の制限	一定回数以上失敗したときに、追加の試行をできないようにすることです。アカウントロックなどが該当します。

用語	内容
シングルサインオン（SSO）	一度の認証で複数のシステムやサービスにログインできる仕組みです。盗聴対策や総当たり攻撃対策そのものを目的とした機能ではありません。

盗聴と総当たり攻撃では、狙われる対象が異なります。

攻撃	攻撃者が狙うもの	対策の方向性	具体例
パスワードの盗聴	通信中のID・パスワード	通信内容を読めないようにする	暗号化された通信で送信する
総当たり攻撃	ログインの試行を繰り返すこと	試行を繰り返せないようにする	入力試行回数を制限する

「盗聴」には暗号化通信、「総当たり攻撃」には入力試行回数の制限が書かれている組合せを選びます。
その組合せは「イ」です。

ア：不正解: 盗聴への対策として、暗号化された通信でパスワードを送信するのは適切です。一方、総当たり攻撃への対策としてのシングルサインオンは適切ではありません。シングルサインオンは認証をまとめる仕組みであり、入力を何度も試す行為そのものを止める対策ではありません。

イ：正解: 盗聴への対策として、暗号化された通信でパスワードを送信するのは適切です。総当たり攻撃への対策として、パスワードの入力試行回数を制限するのも適切です。両方を満たすため、これが正解です。

ウ：不正解: 推測が難しい文字列をパスワードに設定することは、パスワードを当てにくくする対策です。しかし盗聴は、通信中にパスワードそのものが取得されるため、推測が難しくても盗聴対策にはなりません。また、総当たり攻撃への対策としてのシングルサインオンも適切ではありません。

エ：不正解: パスワードの入力試行回数を制限することは、総当たり攻撃への対策として適切です。一方、推測が難しい文字列をパスワードに設定しても、通信中に盗聴されればパスワード自体が取得されるため、盗聴対策にはなりません。

復習する覚えた

※本解説は生成AIによる学習支援用の参考情報です。内容の正確性や最新性は保証されません。最終的な判断は、試験実施団体の公式資料をご確認ください。

テクノロジ系 > 技術要素 > セキュリティ

順次、単語を追加予定です。もうしばらくお待ちください。