応用情報技術者試験 応用情報技術者試験 平成30年度秋期 午前 問42: ブルートフォース攻撃に該当するものはどれか。

問題本文

ブルートフォース攻撃に該当するものはどれか。

選択肢

• ア.Web ブラウザと Web サーバの間の通信で，認証が成功してセッションが開始されているときに，Cookie などのセッション情報を盗む。
• イ.コンピュータへのキー入力を全て記録して外部に送信する。
• ウ.使用可能な文字のあらゆる組合せをそれぞれパスワードとして，繰り返しログインを試みる。
• エ.正当な利用者のログインシーケンスを盗聴者が記録してサーバに送信する。

正解

ウ. 使用可能な文字のあらゆる組合せをそれぞれパスワードとして，繰り返しログインを試みる。

解説

ブルートフォース攻撃(総当たり攻撃)が何かを問う問題である。ブルートフォース(brute force=力ずく)とは、その名のとおり使用可能な文字のあらゆる組合せを片端からパスワードとして試し、繰り返しログインを試みて正しいパスワードを割り出す攻撃である。したがってウが該当する。各選択肢は別種の攻撃手法に対応しており、用語の対比で識別できる。

選択肢ごとの解説

• ア.認証成功後のセッション情報(Cookie)を盗む攻撃はセッションハイジャック(セッション乗っ取り)であり、ブルートフォース攻撃ではない。
• イ.キー入力をすべて記録して外部送信するのはキーロガーの動作であり、パスワードを総当たりするものではない。
• ウ.正しい。考えられる文字の組合せをすべて試行して繰り返しログインを試みる総当たりの手法が、まさにブルートフォース攻撃である。
• エ.正当な利用者の通信(ログインシーケンス)を記録し、後でそのまま再送する攻撃はリプレイ攻撃であり、ブルートフォース攻撃ではない。