情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ 問5: サイドチャネル攻撃の説明はどれか。
←情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ
サイドチャネル攻撃の説明はどれか。
選択肢
- ア.暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。
- イ.企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミの中から探し出す。
- ウ.通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。
- エ.データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって,データベースを改ざんする。
正解
ア. 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。
解説
サイドチャネル攻撃は、暗号アルゴリズムそのものの理論的弱点ではなく、実装した物理デバイスから漏れる副次情報(処理時間・消費電力・電磁波・エラー応答など)を観測して鍵などの機密を推定する攻撃。タイミング攻撃や電力解析が代表例。実務ではICカードや暗号モジュールの設計で、処理時間の一定化やノイズ付加などの耐タンパ対策が求められる。
選択肢ごとの解説
- ア.処理時間や消費電流などの物理量から機密を得るのがサイドチャネル攻撃の定義であり正しい。
- イ.紙ゴミから機密を探すのはトラッシング(スカベンジング)であり物理量解析ではないため誤り。
- ウ.通信に割り込み情報をすり替えるのは中間者攻撃(MITM)の説明であり誤り。
- エ.SQL文の断片を入力して改ざんするのはSQLインジェクションでありサイドチャネルではないため誤り。
情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ の過去問一覧へ戻る・問5