こんにちは、フルスタックエンジニアのryuです。
今回の記事は、基本情報技術者試験過去問解説です。パスワードリスト攻撃についての問題について解説します。パスワードリスト攻撃とは、ある方法で取得したパスワードで、別サイトへ不正ログインする攻撃手法のことです。さらに詳しく解説していきます。
パスワードリスト攻撃の手口に該当するものはどれか
今回の記事では、以下の問題について解説します。
パスワードリスト攻撃の手口に該当するものはどれか。
ア:辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。
イ:パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。
ウ:複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。
エ:よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。
出典:平成31年春期 問37
答えは、『ウ』の「複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。」です。
今回の記事では、パスワードリスト攻撃について詳しく解説します。
パスワードリスト攻撃とは?
パスワードリスト攻撃とは、あるサイトに対する攻撃などによって得られたユーザー名とパスワードのリストを用いて、別のサイトへの不正ログインをする攻撃です。さらに詳しく解説します!
パスワードリスト攻撃の概要
パスワードリスト攻撃は、他のWebサイトから流出したユーザー名やパスワードを使用して、不正ログインする攻撃手法です。以下のようなイメージです。
様々なサイトでユーザー情報の登録が必要になっています。そのような中でパスワードの管理が面倒で、同じユーザー名とパスワードで登録することが多くなるでしょう。
パスワードを使いまわすことを悪用したのが、今回のパスワードリスト攻撃です。では、どのように対策すれば良いのでしょうか?さらに詳しく解説します。
パスワードリスト攻撃の対策方法
パスワードリスト攻撃の対策方法は以下の通りです。
- パスワードを使い回さない
- 多要素認証を行う
- ログイン履歴を確認する
パスワードリスト攻撃の対策する方法は、パスワードを使い回さないことです。しかし、サイト毎でパスワードを分けると、管理が煩雑になります。そのような場合に有効なことは多要素認証です。
多要素認証とは、スマホのSMS認証や指紋認証などを加えることです。パスワード以外で認証する要素を加えましょう。多要素認証についてはこちらで詳しく解説しております。
過去問解説まとめ
今回の記事では、以下の問題について解説します。
パスワードリスト攻撃の手口に該当するものはどれか。
ア:辞書にある単語をパスワードに設定している利用者がいる状況に着目して,攻撃対象とする利用者IDを一つ定め,辞書にある単語やその組合せをパスワードとして,ログインを試行する。
イ:パスワードの文字数の上限が小さいWebサイトに対して,攻撃対象とする利用者IDを一つ定め,文字を組み合わせたパスワードを総当たりして,ログインを試行する。
ウ:複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。
エ:よく用いられるパスワードを一つ定め,文字を組み合わせた利用者IDを総当たりして,ログインを試行する。
出典:平成31年春期 問37
答えは、『ウ』の「複数サイトで同一の利用者IDとパスワードを使っている利用者がいる状況に着目して,不正に取得した他サイトの利用者IDとパスワードの一覧表を用いて,ログインを試行する。」です。
その他の選択肢については以下の通りです。
- ア→辞書攻撃
- イ→ブルートフォース攻撃(総当たり攻撃)
- エ→リバースブルートフォース攻撃(逆総当たり攻撃)
当ブログでは、このようなネットワークに関する内容や基本情報技術者試験の過去問解説をしているので興味のある方は引き続きご覧ください。
