応用情報技術者試験 応用情報技術者試験 平成31年度春期 午前 問38: パスワードクラック手法の一種である，レインボー攻撃に該当するものはどれか。

問題本文

パスワードクラック手法の一種である，レインボー攻撃に該当するものはどれか。

選択肢

• ア.何らかの方法で事前に利用者 ID と平文のパスワードのリストを入手しておき，複数のシステム間で使い回されている利用者 ID とパスワードの組みを狙って，ログインを試行する。
• イ.パスワードに成り得る文字列の全てを用いて，総当たりでログインを試行する。
• ウ.平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。
• エ.利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して，パスワードを類推する。

正解

ウ. 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。

解説

パスワードクラック手法の名称を区別する問題である。レインボー攻撃（レインボーテーブル攻撃）は、平文のパスワードとそのハッシュ値をチェーン（連鎖）状に圧縮して格納したレインボーテーブルをあらかじめ用意しておき、不正に入手したハッシュ値を照合して元のパスワードを高速に逆算する手法である。ハッシュ値とチェーンによる表を使う点が特徴であり、ウが正解である。

選択肢ごとの解説

• ア.入手済みの ID とパスワードの組を他のシステムで使い回す攻撃はパスワードリスト攻撃の説明であり、レインボー攻撃ではない。
• イ.あり得る文字列を総当たりで試すのはブルートフォース攻撃（総当たり攻撃）の説明であり、テーブルを使うレインボー攻撃とは異なる。
• ウ.平文とハッシュ値をチェーンで管理するテーブルを使ってハッシュ値からパスワードを解読するという、レインボー攻撃の定義そのものであり正しい。
• エ.個人情報を聞き出してパスワードを類推するのはソーシャルエンジニアリングの説明であり、レインボー攻撃ではない。