ITパスポート試験 ITパスポート 2022年 (令和4年) 問95: 攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。

問題本文

攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。

選択肢

• ア.DoS攻撃
• イ.SQLインジェクション
• ウ.パスワードリスト攻撃
• エ.フィッシング

正解

ウ. パスワードリスト攻撃

解説

パスワードリスト攻撃は別の Web サイトから漏えいした ID とパスワードを流用し,他のサイトに不正侵入を試みる攻撃手法.パスワード使い回し対策が重要となる.

選択肢ごとの解説

• ア.DoS は大量リクエストでサービス妨害する別攻撃で誤った記述であり該当しない.
• イ.SQL インジェクションは入力欄経由の DB 攻撃で誤った記述であり該当しない.
• ウ.正しい. 他サイト流出資格情報の流用がパスワードリスト攻撃.
• エ.フィッシングは偽サイトで情報を騙し取る攻撃で誤った記述であり該当しない.