情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅰ 問12: パスワードクラック手法の一種である，レインボーテーブル攻撃に該当するものはどれか。

問題本文

パスワードクラック手法の一種である，レインボーテーブル攻撃に該当するものはどれか。

選択肢

• ア.何らかの方法で事前に利用者 ID と平文のパスワードのリストを入手しておき，複数のシステム間で使い回されている利用者 ID とパスワードの組みを狙って，ログインを試行する。
• イ.パスワードに成り得る文字列の全てを用いて，総当たりでログインを試行する。
• ウ.平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。
• エ.利用者の誕生日，電話番号などの個人情報を言葉巧みに聞き出して，パスワードを類推する。

正解

ウ. 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき，それを用いて，不正に入手したハッシュ値からパスワードを解読する。

解説

レインボーテーブル攻撃は、平文とハッシュ値を還元関数でつないだチェーンを事前計算した表を使い、盗んだハッシュ値から元のパスワードを高速に逆引きする手法でウが正しい。アはパスワードリスト攻撃、イはブルートフォース、エはソーシャルエンジニアリング。対策としてハッシュにソルトを加える方法が有効で、これにより事前計算表が無効化される点が実務上の要点。

選択肢ごとの解説

• ア.入手済みID・パスワードを使い回しを狙って試すパスワードリスト攻撃でレインボーではない。
• イ.全文字列を総当たりで試すブルートフォース攻撃の説明であり、事前計算表は使わない。
• ウ.平文とハッシュのチェーン表からハッシュ値を逆引きする点がレインボーテーブル攻撃で正しい。
• エ.個人情報を聞き出して類推するソーシャルエンジニアリングであり、ハッシュ解読ではない。