応用情報技術者試験 応用情報技術者試験 令和5年度秋期 午前 問36: パスワードクラック手法の一種である，レインボーテーブル攻撃に該当するものはどれか。

問題本文

パスワードクラック手法の一種である，レインボーテーブル攻撃に該当するものはどれか。

選択肢

• ア.何らかの方法で事前に利用者 ID と平文のパスワードのリストを入手しておき，複数のシステム間で使い回されている利用者 ID とパスワードの組みを狙って，ログインを試行する。
• イ.パスワードに成り得る文字列の全てを用いて，総当たりでログインを試行する。
• ウ.平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。
• エ.利用者の誕生日，電話番号などの個人情報を言葉巧みに聞き出して，パスワードを類推する。

正解

ウ. 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。

解説

パスワードクラック手法の名称と内容を対応づける問題です。レインボーテーブル攻撃は，平文パスワードとそのハッシュ値の対応をチェーン(連鎖)という形で効率的に圧縮したテーブル(レインボーテーブル)をあらかじめ用意しておき，盗み出したハッシュ値からそれに対応する平文パスワードを高速に逆引き(解読)する手法です。よって「平文のパスワードとハッシュ値をチェーンで管理するテーブルを使い，入手したハッシュ値からパスワードを解読する」と述べたウが正解です。

選択肢ごとの解説

• ア.入手済みのID・パスワードを使い回しを狙って各システムで試すのはパスワードリスト攻撃の説明であり，レインボーテーブル攻撃ではありません。
• イ.可能な文字列を総当たりで試すのはブルートフォース攻撃(総当たり攻撃)の説明であり，事前計算テーブルを使うレインボーテーブル攻撃とは異なります。
• ウ.正しい。平文とハッシュ値をチェーンで管理した事前計算テーブルを用い，盗んだハッシュ値から平文を逆引きするのがレインボーテーブル攻撃です。
• エ.誕生日や電話番号などを聞き出して類推するのはソーシャルエンジニアリングの説明であり，レインボーテーブル攻撃ではありません。