問題
問59
ログイン機能をもつ Web サイトに対する、パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして、最も適切なものはどれか。
[出典:ITパスポート試験 平成31年度春期 問59]
正解
正解は「イ」です。
解説
正解は「イ」です。この問題は、Webサイトのセキュリティ対策に関する知識を問うものです。 「パスワードの盗聴」に対する対策としては、パスワードをインターネット上でやり取りする際に、第三者に内容を見られないように「暗号化された通信でパスワードを送信する」ことが非常に効果的です。例えば、Webサイトのアドレスが「https://」で始まる場合、通信が暗号化されていることを示しており、パスワードなどの重要な情報が保護されます。
「総当たり攻撃」とは、パスワードを一つずつ順番に試していくことで不正ログインを試みる攻撃です。この攻撃への対策としては、「パスワードの入力試行回数を制限する」ことが有効です。例えば、3回間違えたら一定時間ロックするなど、試行回数を制限することで、攻撃者がパスワードを見つけるまでの時間を大幅に延ばし、事実上攻撃を不可能にすることができます。銀行のATMで暗証番号を何回か間違えるとカードが使えなくなるのと似た考え方です。 したがって、「パスワードの盗聴」には「暗号化された通信」、「総当たり攻撃」には「入力試行回数制限」の組み合わせが最も適切な対策となります。
ア(総当たり攻撃: シングルサインオンを利用する。):
シングルサインオンは、複数のサービスで一度の認証を可能にする利便性向上策であり、総当たり攻撃そのものに対する直接的な対策にはなりません。シングルサインオンが導入されていても、その認証情報が破られれば他のサービスも危険にさらされる可能性があります。
ウ(パスワードの盗聴: 推測が難しい文字列をパスワードに設定する。):
推測が難しいパスワードの設定は、辞書攻撃や推測攻撃には有効ですが、通信経路での盗聴には直接的な対策にはなりません。盗聴された場合、どのようなパスワードでもそのまま情報が漏洩してしまいます。
エ(パスワードの盗聴: 推測が難しい文字列をパスワードに設定する。):
推測が難しいパスワードの設定は、通信経路上での盗聴に対する直接的な対策とはなりません。また、総当たり攻撃対策としては入力試行回数制限が有効ですが、盗聴対策が不十分です。
難易度
この問題の難易度は中程度です。Webサイトのセキュリティに関する基本的な知識が問われますが、複数の攻撃手法とそれに対する対策の組み合わせを正しく理解している必要があります。特に「パスワードの盗聴」と「総当たり攻撃」という代表的な攻撃手法について、それぞれの特性と効果的な対策を区別できるかがポイントとなります。日頃からセキュリティニュースに触れている方や、ITパスポートの学習をしっかり行っている方であれば、正解を導き出せるでしょう。
用語補足
パスワードの盗聴:
インターネット上を流れるパスワードなどの通信内容を、悪意のある第三者が不正に傍受して盗み見ることです。例えば、カフェの無料Wi-Fiで、暗号化されていないWebサイトにログインすると、パスワードが筒抜けになる可能性があります。
総当たり攻撃 (ブルートフォースアタック):
ユーザー名やパスワードの組み合わせを、考えられる全てのパターンや辞書にある単語などを順番に試していくことで、不正ログインを試みる攻撃手法です。例えば、鍵の番号を0000から9999まで一つずつ試して開けようとする泥棒のようなものです。
シングルサインオン (SSO):
一度認証を行うだけで、複数の異なるシステムやサービスにログインできるようになる仕組みです。毎回パスワードを入力する手間が省け、利便性が向上します。例えば、Googleアカウントでログインすれば、GmailやYouTubeなど、Googleの様々なサービスに再ログインすることなく利用できるようなものです。
暗号化された通信:
送信するデータを、特定のルール(暗号鍵)に基づいて意味不明な形に変換し、第三者には内容が分からないようにすることです。受け取った側は、同じルール(復号鍵)で元のデータに戻すことができます。これにより、途中で盗聴されても内容が漏れる心配がありません。Webサイトのアドレスが「https」で始まる場合は、この暗号化通信が行われています。
対策
この問題を解くためのポイントは、「パスワードの盗聴」と「総当たり攻撃」という異なる二つの攻撃手法に対して、それぞれどのような対策が効果的であるかを正確に理解することです。盗聴対策は通信経路の保護(暗号化)に焦点を当て、総当たり攻撃対策は試行回数の制限やパスワード自体の強度向上に焦点を当てる、というように、攻撃の性質に応じた適切な対策を紐付けて覚えることが重要です。それぞれの攻撃がどのようなものか、日常のセキュリティ対策と関連付けて考えると理解が深まります。
