合格.dev › 情報セキュリティマネジメント試験 › 情報セキュリティマネジメント試験 平成28年度秋期 午前 › 問26 情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成28年度秋期 午前 問26: パスワードリスト攻撃に該当するものはどれか。 ← 情報セキュリティマネジメント試験 平成28年度秋期 午前
☆ パスワードリスト攻撃 に該当するものはどれか。
一般的な単語や人名からパスワードのリストを作成し,インターネットバンキングへのログインを試行する。
想定し得るパスワードとそのハッシュ値との対のリストを用いて,入手したハッシュ値からパスワードを効率的に解析する。
どこかの Web サイトから流出した利用者 ID とパスワードのリストを用いて,他の Web サイトに対してログインを試行する。
ピクチャパスワードの入力を録画してリスト化しておき,それを利用することによってタブレット端末へのログインを試行する。
選択肢 ア. 一般的な単語や人名からパスワードのリストを作成し,インターネットバンキングへのログインを試行する。イ. 想定し得るパスワードとそのハッシュ値との対のリストを用いて,入手したハッシュ値からパスワードを効率的に解析する。ウ. どこかの Web サイトから流出した利用者 ID とパスワードのリストを用いて,他の Web サイトに対してログインを試行する。エ. ピクチャパスワードの入力を録画してリスト化しておき,それを利用することによってタブレット端末へのログインを試行する。正解 ウ. どこかの Web サイトから流出した利用者 ID とパスワードのリストを用いて,他の Web サイトに対してログインを試行する。
解説 パスワードリスト攻撃 とは,あるサイトから漏えいした利用者 ID とパスワードの組合せのリストを使い,利用者が複数サイトで同じ認証情報を使い回している(パスワードの使い回し)ことを悪用して別のサイトへ不正ログインを試みる攻撃である。流出した ID・パスワードのリストを他の Web サイトへのログインに用いると説明している(ウ)がこれに該当する。
選択肢ごとの解説 ア. 辞書に載っている単語や人名などからパスワード候補を作って試す辞書攻撃の説明であり,パスワードリスト攻撃ではない。イ. パスワードとそのハッシュ値の対応表(レインボーテーブル)を使ってハッシュ値から元のパスワードを逆算する攻撃の説明であり,該当しない。ウ. 正しい。他サイトから流出した ID・パスワードのリストを使い回しを狙って別サイトへ試行する行為で,パスワードリスト攻撃の定義そのものである。エ. 入力操作を盗み見・録画して認証情報を得るショルダーハッキング的手法の説明であり,リストの使い回しを悪用するものではない。情報セキュリティマネジメント試験 平成28年度秋期 午前 の過去問一覧 へ戻る・問26