情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅰ 問14: ブルートフォース攻撃に該当するものはどれか。

問題本文

ブルートフォース攻撃に該当するものはどれか。

選択肢

• ア.Web ブラウザと Web サーバの間の通信で，認証が成功してセッションが開始されているときに，Cookie などのセッション情報を盗む。
• イ.可能性がある文字のあらゆる組合せのパスワードでログインを試みる。
• ウ.コンピュータへのキー入力を全て記録して外部に送信する。
• エ.盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。

正解

イ. 可能性がある文字のあらゆる組合せのパスワードでログインを試みる。

解説

ブルートフォース攻撃(総当たり攻撃)は、考えられる文字の全組合せを順に試してパスワードを破る手法。よってイが正解。対策はパスワードの長大化・複雑化、アカウントロックや試行回数制限、多要素認証、ハッシュへのソルト付与など。攻撃手法の正確な区別は防御策選定の前提となる。

選択肢ごとの解説

• ア.セッション情報を盗むのはセッションハイジャックで、総当たりではないため誤り。
• イ.あらゆる文字の組合せを試行してログインする点がブルートフォースで正しい。
• ウ.キー入力を全て記録して送信するのはキーロガーの説明で、総当たりではない。
• エ.ログインシーケンスを記録し再送するのはリプレイ攻撃で、ブルートフォースと異なる。