問題本文
情報システムに対する攻撃のうち,あるIDに対して所定の回数を超えてパスワードの入力を間違えたとき,当該IDの使用を停止させることが有効な防衛手段となるものはどれか。
選択肢
- ア.DoS攻撃
- イ.SQLインジェクション
- ウ.総当たり攻撃
- エ.フィッシング
解説
総当たり攻撃(ブルートフォース攻撃,brute force attack)はパスワードの組合せを片端から自動的に試行して認証を突破しようとする攻撃手法である. これに対する有効な防御策が,一定回数連続して認証に失敗した場合にIDをロックアウト(使用停止)する仕組みで,試行回数自体を制限することで攻撃を実質的に無効化できる. 多くのシステムで標準的なアカウントロック機構として実装されている. DoS攻撃は大量アクセスでサービスを妨害する攻撃,SQLインジェクションは入力値を悪用してDB操作する攻撃,フィッシングは偽サイトへ誘導して情報を騙し取る攻撃で,いずれもIDロックでは防げない別の攻撃手法で対策手段も異なる別領域となる.
選択肢ごとの解説
- ア.誤り. DoS攻撃(Denial of Service)は大量のリクエストでサービスを妨害する攻撃の説明で,IDロックでは防げない攻撃である. 帯域や処理能力の枯渇を狙う攻撃で,認証失敗回数の制限とは無関係であり,対策は通信量制限・DDoS対策装置などまったく別の手段となる攻撃である.
- イ.誤り. SQLインジェクションは入力値を細工して意図しないSQLをDBで実行させる攻撃の説明で,IDロックは無関係な対策である. 入力値検証(エスケープ処理)やパラメータ化クエリ(プリペアドステートメント)による対処が必要な攻撃で,認証回数制限とは別領域の攻撃である.
- ウ.正しい. 総当たり攻撃は組合せを片端から試すパスワード破りで,一定回数の認証失敗でアカウントロックすれば試行回数自体を制限でき有効に防げる攻撃のため. アカウントロック・キャプチャ・遅延導入などが典型対策で,本問の防御策と最も合致する攻撃である.
- エ.誤り. フィッシングは偽サイトや偽メールで利用者から情報を騙し取る攻撃の説明で,IDロックでは防げない別の攻撃である. 利用者教育・ドメイン確認・送信ドメイン認証・メールフィルタなどが主な対策となり,認証失敗回数の制御では防御できない攻撃カテゴリに属する.
ITパスポート 2016年 (平成28年 秋期) の過去問一覧へ戻る・問83