問題本文
あるWebサイトからIDとパスワードが漏えいし,そのWebサイトの利用者が別のWebサイトで,パスワードリスト攻撃の被害に遭ってしまった。このとき,Webサイトで使用していたIDとパスワードに関する問題点と思われる記述はどれか。
選択肢
- ア.IDとパスワードを暗号化されていない通信を使ってやり取りしていた。
- イ.同じIDと同じパスワードを設定していた。
- ウ.種類が少ない文字を組み合わせたパスワードを設定していた。
- エ.短いパスワードを設定していた。
正解
イ. 同じIDと同じパスワードを設定していた。
解説
パスワードリスト攻撃(Password List Attack、リスト型攻撃)は、他のウェブサービスや企業から流出したID・パスワードの組合せのリストを使い、別のサービスに同じ認証情報でログインを試みる攻撃手法である。複数サービスで同じIDとパスワードを使い回しているユーザは、一つのサービスで情報が漏えいすると他サービスも芋づる式に被害を受ける。この問題の被害原因は「同じIDと同じパスワードを複数サービスで使い回していたこと」であり、サービスごとに異なるパスワードを設定することが根本的対策となる。パスワードの短さや文字種の少なさはブルートフォース攻撃への脆弱性であり、リスト攻撃とは異なる問題である。
選択肢ごとの解説
- ア.誤り。「暗号化されていない通信でやり取り」したことは通信盗聴(盗聴リスク)の問題である。確かに平文通信ではパスワードを盗聴される危険があるが、パスワードリスト攻撃は既に別サイトから流出した認証情報を使う攻撃であり、通信暗号化の有無は別サイトでの被害の原因とは直接結びつかない。
- イ.正しい。「同じIDと同じパスワードを複数サービスで使い回していた」ことがパスワードリスト攻撃の被害を招く根本原因である。一つのサービスの認証情報が漏えいすると、同じ組合せを使う他サービスにも不正ログインされてしまう。サービスごとに異なる強固なパスワードを設定することが防止策。
- ウ.誤り。「種類が少ない文字を組み合わせたパスワード」は総当たり攻撃(ブルートフォース)や辞書攻撃に対して脆弱であることを指す。これらは攻撃者がパスワードを解析して特定しようとする攻撃であり、パスワードリスト攻撃はすでに正しい認証情報を持っているため文字種の多少は関係しない。
- エ.誤り。「短いパスワード」はブルートフォース攻撃に対して脆弱であることの問題点である。総当たりで解析される可能性が高くなるが、パスワードリスト攻撃は解析を行わず既存の正しい認証情報をそのまま使用するため、パスワードの長さはリスト攻撃の被害原因とは直接関係しない。
ITパスポート 2017年 (平成29年 春期) の過去問一覧へ戻る・問95