情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問4: サイドチャネル攻撃に該当するものはどれか。

問題本文

サイドチャネル攻撃に該当するものはどれか。

選択肢

• ア.暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量（処理時間や消費電力など）やエラーメッセージから，攻撃対象の秘密情報を得る。
• イ.企業などの秘密情報を窃取するソーシャルエンジニアリングの手法の一つであり，不用意に捨てられた秘密情報の印刷物をオフィスの紙ごみの中から探し出す。
• ウ.通信を行う 2 者間に割り込んで，両者が交換する情報を自分のものとすり替えることによって，その後の通信を気付かれることなく盗聴する。
• エ.データベースを利用する Web サイトに入力パラメタとして SQL 文の断片を送信することによって，データベースを改ざんする。

正解

ア. 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量（処理時間や消費電力など）やエラーメッセージから，攻撃対象の秘密情報を得る。

解説

サイドチャネル攻撃は、暗号アルゴリズムそのものを解くのではなく、実装した物理デバイスから漏れる処理時間・消費電力・電磁波・エラー応答などの副次的情報を観測して秘密鍵を推定する手法。アがこの定義に合致する。実務では電力解析対策やタイミングを一定化する実装(定数時間処理)で防御する。

選択肢ごとの解説

• ア.処理時間や消費電力などの物理量から秘密情報を推定する点がサイドチャネル攻撃の定義どおりで正しい。
• イ.紙ごみから情報を探すのはスキャベンジング(トラッシング)で、物理量を観測する本問とは異なる。
• ウ.通信する2者間に割り込み情報をすり替えるのは中間者(MITM)攻撃の説明で、サイドチャネルとは異なる。
• エ.入力パラメタにSQL文の断片を送りDBを改ざんするのはSQLインジェクションで、サイドチャネルではない。