問題
問83
情報システムに対する攻撃のうち、ある ID に対して所定の回数を超えてパスワードの入力を間違えたとき、当該 ID の使用を停止させることが有効な防衛手段となるものはどれか。
- DoS 攻撃
- SQLインジェクション
- 総当たり攻撃
- フィッシング
[出典:ITパスポート試験 平成28年度秋期 問83]
正解
正解は「ウ」です。
解説
正解は「総当たり攻撃」です。総当たり攻撃とは、考えられるパスワードの組み合わせを片っ端から試していくことで、不正にログインを試みる攻撃手法のことです。
例えば、4桁の数字のパスワードなら「0000」から「9999」まで全て試す、といった形です。このような攻撃に対して、IDに対するパスワードの入力ミスが一定回数以上続いた場合に、そのIDを一時的または永続的に使用停止(アカウントロック)にするという対策は非常に有効です。これにより、攻撃者は全てのパスワードを試すことができなくなり、不正ログインを防ぐことができます。これは、鍵穴に合わない鍵を何回も試すと鍵穴が壊れるので、もう使えなくなる、というような仕組みに似ています。
ア(DoS 攻撃):
DoS攻撃は、システムやネットワークに過剰な負荷をかけてサービスを停止させる攻撃であり、パスワードの不正試行とは目的も手法も異なります。
イ(SQLインジェクション):
SQLインジェクションは、Webアプリケーションの入力フォームなどを利用して不正なSQL文を送りつけ、データベースを不正に操作する攻撃であり、パスワードの入力ミスとは直接関係ありません。
エ(フィッシング):
フィッシングは、偽のメールやWebサイトを使って、ユーザーからパスワードなどの個人情報を騙し取る詐欺の手法であり、システムへの直接的なパスワードの試行とは異なります。
難易度
この問題は、情報セキュリティに関する基本的な知識が問われるもので、難易度は比較的低いと言えます。主要なサイバー攻撃の名称と、それがどのような目的で、どのような手法で行われるかを理解していれば、正解にたどり着くことは難しくありません。ITパスポート試験の学習初期段階で習得する重要なテーマの一つです。
用語補足
総当たり攻撃:
パスワードなどの認証情報を、考えられる全ての組み合わせを試して解読しようとする攻撃手法です。例えば、鍵のダイヤル錠を「0000」から順番に「9999」まで全て試すようなイメージです。
DoS攻撃:
特定のサーバーやネットワークに対して、大量のデータやリクエストを送りつけることで、その機能を麻痺させ、サービス提供を妨害する攻撃です。大勢の人が一斉に同じお店に殺到して、お店の営業がストップしてしまうような状況に似ています。
SQLインジェクション:
Webアプリケーションの入力フォームなどに不正なデータ(SQL文)を入力し、データベースを誤動作させたり、情報を盗み出したりする攻撃です。例えば、注文フォームに不正なコードを書き込んで、他の顧客情報を表示させるような行為です。
フィッシング:
銀行や有名企業を装った偽のメールやWebサイトを作成し、利用者のIDやパスワード、クレジットカード情報などの個人情報を不正に取得する詐欺の手法です。偽のハガキで「お金を送ってください」と騙すことに似ています。
対策
この問題を解くためのポイントは、主要なサイバー攻撃手法の名称と、それぞれの攻撃がどのような目的で、どのような方法で行われるのかを正確に理解することです。特に、パスワード認証に関連する攻撃(総当たり攻撃、辞書攻撃など)と、その他の目的を持つ攻撃(DoS攻撃、SQLインジェクション、フィッシングなど)を区別できるように学習しましょう。それぞれの攻撃に対する具体的な防御策も合わせて覚えることで、より深い理解が得られます。用語とその意味をセットで覚えることが重要です。
