応用情報技術者試験 応用情報技術者試験 令和4年度秋期 午前 問37: サイドチャネル攻撃に該当するものはどれか。

問題本文

サイドチャネル攻撃に該当するものはどれか。

選択肢

• ア.暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量（処理時間，消費電力など）やエラーメッセージから，攻撃対象の秘密情報を得る。
• イ.企業などの秘密情報を不正に取得するソーシャルエンジニアリングの手法の一つであり，不用意に捨てられた秘密情報の印刷物をオフィスの紙ごみの中から探し出す。
• ウ.通信を行う 2 者間に割り込み，両者が交換する情報を自分のものとすり替えることによって，その後の通信を気付かれることなく盗聴する。
• エ.データベースを利用する Web サイトに入力パラメータとして SQL 文の断片を送信することによって，データベースを改ざんする。

正解

ア. 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量（処理時間，消費電力など）やエラーメッセージから，攻撃対象の秘密情報を得る。

解説

サイドチャネル攻撃の定義を問う問題。サイドチャネル攻撃は、暗号処理を行う物理デバイスから漏れる副次的な情報(処理時間、消費電力、電磁波、エラーメッセージなど)を観測・分析して、暗号鍵などの秘密情報を推定する攻撃である。これを述べた選択肢アが正解である。

選択肢ごとの解説

• ア.正しい。デバイスの処理時間や消費電力などの物理量から秘密情報を得るのがサイドチャネル攻撃である。
• イ.紙ごみから秘密情報の印刷物を探し出すのはスキャベンジング(トラッシング)というソーシャルエンジニアリングの手法であり、サイドチャネル攻撃ではないため誤り。
• ウ.2者間に割り込んで情報をすり替え盗聴するのは中間者(Man-in-the-Middle)攻撃の説明であり、サイドチャネル攻撃ではないため誤り。
• エ.入力に SQL 文の断片を送り込んでデータベースを改ざんするのは SQL インジェクションの説明であり、サイドチャネル攻撃ではないため誤り。