情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問3: クラウドサービスにおける，従量課金を利用したEDoS（Economic Denial of Service，Economic Denial of Sustain

問題本文

クラウドサービスにおける，従量課金を利用したEDoS（Economic Denial of Service，Economic Denial of Sustainability）攻撃の説明はどれか。

選択肢

• ア.カード情報の取得を目的に，金融機関が利用しているクラウドサービスに侵入する攻撃
• イ.課金回避を目的に，同じハードウェア上に構築された別の仮想マシンに侵入し，課金機能を利用不可にする攻撃
• ウ.クラウド利用企業の経済的な損失を目的に，リソースを大量消費させる攻撃
• エ.パスワード解析を目的に，クラウド環境のリソースを悪用する攻撃

正解

ウ. クラウド利用企業の経済的な損失を目的に，リソースを大量消費させる攻撃

解説

EDoSは従量課金型クラウドの料金体系を逆手に取り、過剰なリクエストでCPUや通信量を消費させて利用企業に高額な利用料を発生させる攻撃である。可用性低下より経済的損失を狙う点が特徴で、ウが正しい。実務ではオートスケールの上限設定、レート制限、WAFやCDNでの不正トラフィック遮断が対策となる。

選択肢ごとの解説

• ア.カード情報窃取目的の侵入は情報漏えい攻撃で、課金を悪用するEDoSとは異なり誤り。
• イ.他テナントへの侵入や課金機能停止はサイドチャネル等の別概念で、EDoSの定義に合わず誤り。
• ウ.リソースを大量消費させ利用企業に経済的損失を与える点がEDoSの本質であり正しい。
• エ.リソース悪用によるパスワード解析は計算資源の不正利用であり、課金被害を狙うEDoSとは異なり誤り。