問題本文
Webサーバの認証において,同じ利用者IDに対してパスワードの誤りがあらかじめ定められた回数連続して発生した場合に,その利用者IDを自動的に一定期間利用停止にするセキュリティ対策を行った。この対策によって,最も防御の効果が期待できる攻撃はどれか。
選択肢
- ア.ゼロデイ攻撃
- イ.パスワードリスト攻撃
- ウ.バッファオーバフロー攻撃
- エ.ブルートフォース攻撃
解説
ブルートフォース攻撃(Brute Force Attack、総当たり攻撃)とは、同一のIDに対してあらゆるパスワードの組合せを機械的に次々と試行してログインを試みる攻撃手法である。「連続誤入力N回でアカウントを一定期間停止する」という対策は、試行回数を物理的に制限するため、ブルートフォース攻撃の効果を大幅に低下させる。一方、パスワードリスト攻撃は漏えいした正しいID/パスワードの組を使うため1回で成功することがあり、ゼロデイ攻撃・バッファオーバフローは認証回数と無関係、よって試行回数制限の恩恵が最も大きい攻撃種別がブルートフォースである。
選択肢ごとの解説
- ア.誤り。ゼロデイ攻撃(Zero-Day Attack)はパッチが未公開の脆弱性を突く攻撃であり、認証機能とは無関係に成立する。ログイン試行回数の制限によっては防御できない。有効な対策は迅速なパッチ適用、WAF、侵入検知システム(IDS)などである。
- イ.誤り。パスワードリスト攻撃(Password List Attack)は過去に漏えいした正規のID/パスワードの組合せを使い回す攻撃である。正しい認証情報を1回入力するだけで成功してしまうため、連続誤入力制限の防御効果は限定的。サイトごとに異なるパスワードを設定することが根本的対策。
- ウ.誤り。バッファオーバフロー攻撃はプログラムのメモリバッファを超えたデータを書き込む脆弱性を突く攻撃であり、Webサーバの認証機能の試行回数制限とはまったく無関係。有効な対策はパッチ適用やセキュアコーディングの実践であり、アカウントロックアウトでは防御できない。
- エ.正しい。ブルートフォース攻撃は同一IDに対してパスワードを網羅的に試行する攻撃である。連続誤入力でアカウントを一定期間停止することで試行が中断され、攻撃効果をほぼ無効化できる。この対策はアカウントロックアウトポリシーと呼ばれ、ブルートフォース対策の基本である。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問81