情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ 問2: Pass the Hash 攻撃はどれか。

問題本文

Pass the Hash 攻撃はどれか。

選択肢

• ア.パスワードのハッシュ値から導出された平文パスワードを使ってログインする。
• イ.パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。
• ウ.パスワードを固定し，利用者 ID の文字列のハッシュ化を繰り返しながら様々な利用者 ID を試してログインする。
• エ.ハッシュ化されずに保存されている平文パスワードを使ってログインする。

正解

イ. パスワードのハッシュ値だけでログインできる仕組みを悪用してログインする。

解説

Pass the Hashは、平文パスワードを復元せず、窃取したパスワードハッシュ値そのものを認証に提示してログインする攻撃。NTLM認証のようにハッシュで応答を生成する仕組みを悪用し、イが正しい。実務ではLSASSからのハッシュ窃取対策(資格情報の保護、最小権限、横展開の検知)が重要となる。

選択肢ごとの解説

• ア.ハッシュは一方向関数で平文を導出できない。導出した平文を使うという前提が成り立たず誤り。
• イ.ハッシュ値だけで認証が通る仕組みを悪用する点が、Pass the Hashの定義どおりで正解。
• ウ.利用者IDを変えて試すのは総当たり的なID探索であり、ハッシュ再利用の概念とは異なるため誤り。
• エ.平文保存パスワードの悪用は単なる情報漏えいの利用で、ハッシュを使う本攻撃とは別物のため誤り。