情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問3: サイドチャネル攻撃の説明はどれか。
←情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ
サイドチャネル攻撃の説明はどれか。
選択肢
- ア.暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。
- イ.企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ごみの中から探し出す。
- ウ.通信を行う 2 者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。
- エ.データベースを利用する Web サイトに入力パラメタとして SQL 文の断片を与えることによって,データベースを改ざんする。
正解
ア. 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。
解説
サイドチャネル攻撃は、暗号アルゴリズム自体ではなく実装デバイスから漏れる物理的副次情報(処理時間・消費電流・電磁波・エラー応答など)を観測して鍵などの機密を推定する攻撃。アがこの定義に一致する。実務ではICカードや組込み機器で問題になり、処理時間の一定化やノイズ付加などの対策が取られる。
選択肢ごとの解説
- ア.処理時間や消費電流などの物理量から機密情報を得るというサイドチャネル攻撃の定義どおりで、正解。
- イ.紙ごみから機密を探すのはスキャベンジング(トラッシング)で、ソーシャルエンジニアリングの一種。
- ウ.2者間に割り込み情報をすり替えるのは中間者(MITM)攻撃の説明である。
- エ.入力にSQL断片を与え改ざんするのはSQLインジェクションで、サイドチャネルではない。
情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ の過去問一覧へ戻る・問3