応用情報技術者試験 応用情報技術者試験 令和6年度秋期 午前 問40: パスワードリスト攻撃に該当するものはどれか。

問題本文

パスワードリスト攻撃に該当するものはどれか。

選択肢

• ア.一般的な単語や人名からパスワードのリストを作成し，インターネットバンキングへのログインを試行する。
• イ.想定し得るパスワードとそのハッシュ値との対のリストを用いて，入手したハッシュ値からパスワードを効率的に解析する。
• ウ.どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて，他のWebサイトに対してログインを試行する。
• エ.ピクチャパスワードの入力を録画してリスト化しておき，それを利用することによってタブレット端末へのログインを試行する。

正解

ウ. どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて，他のWebサイトに対してログインを試行する。

解説

パスワードリスト攻撃とは、あるサービスから流出した利用者IDとパスワードの組のリストを使い、利用者が複数サイトで同じIDとパスワードを使い回している点を突いて、別のサイトへのログインを試みる攻撃である。これを述べたウが正解である。対策はサービスごとに異なるパスワードを設定することである。

選択肢ごとの解説

• ア.一般的な単語や人名から作ったパスワードのリストで総当たり的にログインを試すのは辞書攻撃の説明であり、流出した組を使うパスワードリスト攻撃とは異なるため誤りである。
• イ.パスワードとそのハッシュ値の対応表から流出ハッシュ値の元を解析するのはレインボー攻撃（レインボーテーブル攻撃）の説明であり、パスワードリスト攻撃ではないため誤りである。
• ウ.あるWebサイトから流出した利用者IDとパスワードのリストを使い回しを狙って他サイトのログインに試すのはパスワードリスト攻撃の定義そのものであり、正解である。
• エ.ピクチャパスワードの入力を録画して悪用するのは盗み見（のぞき見）による攻撃の一種であり、流出した認証情報のリストを使うパスワードリスト攻撃ではないため誤りである。