問題
問81
Web サーバの認証において、同じ利用者 ID に対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に、その利用者 ID を自動的に一定期間利用停止にするセキュリティ対策を行った。この対策によって、最も防御の効果が期待できる攻撃はどれか。
- ゼロデイ攻撃
- パスワードリスト攻撃
- バッファオーバフロー攻撃
- ブルートフォース攻撃
[出典:ITパスポート試験 平成29年度春期 問81]
正解
正解は「エ」です。
解説
正解は「エ:ブルートフォース攻撃」です。ブルートフォース攻撃とは、パスワードの考えられるすべての組み合わせを一つ一つ順番に試して、正解を見つけ出そうとする「総当たり攻撃」のことです。この攻撃は、パスワードの文字数や複雑さが増すほど、成功するまでに膨大な時間がかかりますが、試行回数に制限がないと、いつかは正解にたどり着いてしまう可能性があります。
問題文のセキュリティ対策は、「同じ利用者 ID に対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に、その利用者 ID を自動的に一定期間利用停止にする」というものです。これは、特定の利用者 ID に対してパスワードの試行回数を制限し、何度も間違えるとアカウントをロックする(または一時的に利用を停止する)ことで、ブルートフォース攻撃を非常に困難にする効果があります。
例えば、銀行のATMで暗証番号を何回か間違えるとカードがロックされるのと同じ仕組みと考えると分かりやすいでしょう。
ア(ゼロデイ攻撃):
ゼロデイ攻撃は、まだ一般に知られていないOSやソフトウェアの脆弱性(セキュリティ上の欠陥)を悪用する攻撃です。パスワードの試行回数制限とは直接的な関係がありません。
イ(パスワードリスト攻撃):
パスワードリスト攻撃は、他のWebサービスなどから漏洩したIDとパスワードのリストを使って、標的となるシステムへのログインを試みる攻撃です。利用者IDごとに一定期間利用停止にする対策は、リスト内の複数の組み合わせを試す攻撃に対して一定の効果はありますが、ブルートフォース攻撃ほど直接的な防御効果ではありません。ブルートフォース攻撃が特定のIDに対するパスワードの総当たり試行を防ぐのに対し、パスワードリスト攻撃は複数のIDに対する不正ログインを試みる点が異なります。
ウ(バッファオーバフロー攻撃):
バッファオーバフロー攻撃は、プログラムが確保しているメモリ領域(バッファ)に、許容量を超えるデータを送り込み、プログラムの誤動作や不正なコードの実行を狙う攻撃です。これは、パスワードの試行回数制限とは無関係な種類の攻撃です。
難易度
この問題は、情報セキュリティに関する基本的な攻撃手法とその対策について理解しているかを問うものです。問題文が示す対策(パスワードの試行回数制限とアカウントロック)が、どの攻撃に対して最も有効であるかを判断する必要があります。選択肢の攻撃手法の意味を知っていれば比較的容易に正解を導き出せるため、難易度は中程度と言えるでしょう。IT未経験者の方も、基本的な攻撃手法の知識があれば理解しやすい問題です。
用語補足
ブルートフォース攻撃:
パスワードや暗証番号などを特定するために、考えられるすべての組み合わせを一つずつ順番に試していく攻撃方法です。「総当たり攻撃」とも呼ばれます。例えば、4桁の暗証番号であれば、0000から9999まで全て試すようなイメージです。
パスワードリスト攻撃:
どこか別のWebサービスなどから流出したIDとパスワードの組み合わせのリストを使って、ターゲットのWebサイトやサービスにログインを試みる攻撃です。多くの人が複数のサービスで同じIDとパスワードを使い回していることを悪用します。
ゼロデイ攻撃:
ソフトウェアやシステムのまだ一般に知られていない脆弱性(セキュリティ上の欠陥)が発見され、その対策(修正プログラム)が提供されるよりも前に、その脆弱性を悪用して行われる攻撃です。まだ対策がないため、防御が非常に困難です。
バッファオーバフロー攻撃:
プログラムがデータを格納するために用意したメモリ領域(バッファ)に、許容量を超えるデータを意図的に送り込むことで、プログラムを異常終了させたり、攻撃者の意図する不正な処理を実行させたりする攻撃です。
対策
この問題のポイントは、提示されたセキュリティ対策(パスワードの試行回数制限とアカウントロック)が、どの攻撃に対して直接的な効果を発揮するかを理解することです。各攻撃手法の原理と目的を正確に把握しておく必要があります。特に、ブルートフォース攻撃は、その性質上、試行回数に制限を設けることが非常に有効な対策となります。他の攻撃手法は、試行回数制限とは異なる防御策が必要となるため、それぞれの特性をしっかり学習することが重要です。
