応用情報技術者試験 応用情報技術者試験 令和4年度春期 午前 問42: パスワードクラック手法の一種である，レインボー攻撃に該当するものはどれか。

問題本文

パスワードクラック手法の一種である，レインボー攻撃に該当するものはどれか。

選択肢

• ア.何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき，複数のシステム間で使い回されている利用者IDとパスワードの組みを狙って，ログインを試行する。
• イ.パスワードに成り得る文字列の全てを用いて，総当たりでログインを試行する。
• ウ.平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。
• エ.利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して，パスワードを類推する。

正解

ウ. 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。

解説

レインボー攻撃(レインボーテーブル攻撃)は，あらかじめ平文パスワードとそのハッシュ値を“チェーン(連鎖)”という形で効率的にまとめたレインボーテーブルを用意しておき，盗み出したハッシュ値からもとの平文パスワードを高速に逆引きする手法である。記述ウがまさにこの“ハッシュ値とパスワードをチェーンで管理するテーブルで解読”という特徴を述べているため正解となる。

選択肢ごとの解説

• ア.入手済みのID・パスワードの使い回しを狙ってログインを試す手法は“パスワードリスト攻撃”であり，レインボー攻撃ではない。
• イ.考え得る全文字列を総当たりで試すのは“ブルートフォース攻撃(総当たり攻撃)”であり，事前計算したテーブルを使うレインボー攻撃とは異なる。
• ウ.平文とハッシュ値をチェーンで管理したテーブル(レインボーテーブル)で，盗んだハッシュ値から平文を解読するのがレインボー攻撃であり正しい。
• エ.個人情報を聞き出してパスワードを類推するのは“ソーシャルエンジニアリング”の一種であり，レインボー攻撃ではない。