問題
問95
攻撃対象とは別のWebサイトから盗み出すなどによって、不正に取得した大量の認証情報を流用し、標的とするWebサイトに不正に侵入を試みるものはどれか。
- DoS攻撃
- SQLインジェクション
- パスワードリスト攻撃
- フィッシング
[出典:ITパスポート試験 令和4年度 問95]
スポンサーリンク
正解
正解は「ウ」です。
解説
正解は「ウ」のパスワードリスト攻撃です。パスワードリスト攻撃とは、攻撃者が別のWebサイトから盗み出した大量の認証情報(ユーザー名とパスワードの組み合わせ)を使って、他のWebサイトに不正にアクセスを試みる手法です。多くのユーザーが複数のサイトで同じパスワードを使い回しているため、この攻撃が成功する確率が高いです。
ア(DoS攻撃):
DoS攻撃は、標的のサーバーやネットワークに大量のトラフィックを送りつけてサービスを停止させる攻撃です。認証情報の流用とは関係ありません。
イ(SQLインジェクション):
SQLインジェクションは、Webアプリケーションの脆弱性を利用して、データベースに不正なSQL文を実行させる攻撃です。認証情報の流用とは関係ありません。
エ(フィッシング):
フィッシングは、偽のWebサイトやメールを使ってユーザーから認証情報を騙し取る攻撃です。認証情報の流用とは異なります。
難易度
普通
この問題は、ITパスポート試験の中でも基本的なセキュリティ知識を問うものであり、特に難しい概念や計算を必要としないため、普通の難易度と評価できます。初心者でも基本的なセキュリティ用語を理解していれば解答できる問題です。
スポンサーリンク
用語補足
パスワードリスト攻撃:
攻撃者が別のWebサイトから盗み出した大量の認証情報を使って、他のWebサイトに不正にアクセスを試みる手法です。多くのユーザーが複数のサイトで同じパスワードを使い回しているため、この攻撃が成功する確率が高いです。
DoS攻撃:
サービス拒否攻撃とも呼ばれ、標的のサーバーやネットワークに大量のトラフィックを送りつけてサービスを停止させる攻撃です。
対策
この問題を解くためには、基本的なセキュリティ用語とその意味を理解しておくことが重要です。特に、パスワードリスト攻撃のような不正アクセスの手法について、その仕組みや特徴を把握すると良いでしょう。また、多様な攻撃手法を事例とともに学ぶことも有効です。
