情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問2: SSL/TLS のダウングレード攻撃に該当するものはどれか。
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ
SSL/ のダウングレード攻撃に該当するものはどれか。
問題本文
SSL/TLS のダウングレード攻撃に該当するものはどれか。
選択肢
- ア.暗号化通信中にクライアント PC からサーバに送信するデータを操作して,強制的にサーバのディジタル証明書を失効させる。
- イ.暗号化通信中にサーバからクライアント PC に送信するデータを操作して,クライアント PC の Web ブラウザを古いバージョンのものにする。
- ウ.暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる。
- エ.暗号化通信を盗聴する攻撃者が,暗号鍵候補を総当たりで試すことによって解読する。
正解
ウ. 暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる。
解説
ダウングレード攻撃は、TLSのネゴシエーション時に介入し、本来使える強い暗号スイートを使わせず、脆弱で解読しやすい暗号や旧プロトコルへ意図的に引き下げさせる攻撃。ウがこの本質を正しく述べている。実務では旧バージョン(SSL3.0等)や弱い暗号スイートをサーバ側で無効化し、TLS_FALLBACK_SCSVなどで防ぐ。
選択肢ごとの解説
- ア.通信操作で証明書を強制失効させるという挙動はダウングレード攻撃ではなく、現実的でもない。
- イ.Webブラウザ自体を旧版に置き換える攻撃ではない。対象は暗号方式の引き下げである。
- ウ.弱い暗号スイートの使用を強制し解読しやすくする点がダウングレード攻撃の本質で、正解。
- エ.暗号鍵を総当たりで試すのはブルートフォース(全数探索)であり、ダウングレード攻撃とは異なる。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ の過去問一覧へ戻る・問2