Show
2022.08.05 レインボー攻撃(rainbow-attack)は、ハッシュ値と元のデータ(平文)の対応表を作っておき、この表を基にしてハッシュ値から元のデータを高速に割り出す方法です。 このハッシュ値と元のデータの対応表が「レインボーテーブル」と呼ばれます。 問題例応用情報技術者平成31年春期 午前問38パスワードクラック手法の一種である,レインボー攻撃に該当するものはどれか。 ア.何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき,複数のシステム間で使い回されている利用者IDとパスワードの組みを狙って,ログインを試行する。 イ.パスワードに成り得る文字列の全てを用いて,総当たりでログインを試行する。 ウ.平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき,それを用いて,不正に入手したハッシュ値からパスワードを解読する。 エ.利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して,パスワードを類推する。 正解を見る ウ.平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき,それを用いて,不正に入手したハッシュ値からパスワードを解読する。 �ߑO��44�ʂ̃T�[�r�X��V�X�e�����痬�o�����A�J�E���g�F�؏���p���āC�A�J�E���g�F�؏����g���Ă��闘�p�҂̃A�J�E���g��������U���͂ǂꂩ�B
�����e�N�m���W�n » �Z�L�����e�B » ���Z�L�����e�B ��������p�X���[�h���X�g�U���́A�����̃T�C�g�œ��l��ID�E�p�X���[�h�̑g�������g�p���Ă��闘�p�҂������Ƃ����X�������p�������̂ŁA����T�C�g�ɑ���U���Ȃǂɂ���ē���ꂽID�ƃp�X���[�h�̃��X�g��p���āA�ʂ̃T�C�g�ւ̕s�����O�C�������݂�U���ł��B ���������āu�A�v�������ł��B
���Z�L�����e�B�X�y�V�����X�g����23�N���� �ߑO�U ��8�ߑO�U ��8�T�[�o�ւ̃��O�C�����ɗp����p�X���[�h��s���Ɏ擾���悤�Ƃ���U���Ƃ��̑�̑g�����̂����C�K�Ȃ��̂͂ǂꂩ�B
�����e�N�m���W�n » �Z�L�����e�B » ���Z�L�����e�B ��������ݖ�ɂ���3�̃p�X���[�h�N���b�N��@�͎��̂悤�Ȃ��̂ł��B �����U�������ɍڂ��Ă���p�P��A�l���A�p�X���[�h�ɂ悭�g���镶����Ȃǂ��ʂɓo�^�������X�g(�����t�@�C��)��p�ӂ��āA1�������Ă������ƂŃp�X���[�h����ǂ��悤�Ƃ���U����@�B�X�j�b�t�B���O�ʐM�o�H��𗬂��p�P�b�g�𓐒����āA���̓��e����p�X���[�h�̕s���擾�����݂�U����@�u���[�g�t�H�[�X�U���p�X���[�h�Ƃ��Đݒ�\�ȕ������ƕ�����̑g������S�Ď������ƂŁA�p�X���[�h�̕s���擾�����݂�U����@�B�p�X���[�h�����Z���A�g�p�\�ȕ����킪���Ȃ��ꍇ�ɂ́A���̎�@�ɂ���Ĕj����\���������Ȃ��Ă��܂��B���ꂼ��̍U���̐������l����ƁA�����U���ɂ́u�����_���Ȓl�Ńp�X���[�h��ݒ肷��v�A�X�j�b�t�B���O�ɂ́u�p�X���[�h���ő��M���Ȃ��v�A�u���[�g�t�H�[�X�U���ɂ́u���O�C�����s�ɐ�����݂���v���K�ȑ�ƂȂ�܂��B ���������ēK�ȑg�����́u�C�v�ł��B
������S�m�ێx���m�������������̉����@�ߋ������今回は、平成 27 年度(2015 年度)秋期の「応用情報技術者試験」の過去問(午後 問1 情報セキュリティ)を解いていきます。 前編では、主にパスワードに対する攻撃について、解説していきます。
解説今回取り扱う、設問 1、設問 2、設問 3 (1) は、かなり易しいです。正解は、マストです。 設問 1まぎらわしい選択肢(以下、肢)はありません。わからなかった用語は、ここで覚えておきましょう。 空欄 a
攻撃者は、氏名と誕生日を組み合わせたパスワードを「類推」したのです。 他の肢については、下記の「整理」にて、詳しく解説しています。 空欄 b
アカウント名とパスワードの組合わせのリストを作成し、それをもとにログインを試みる攻撃ですので、正解は、ウ. パスワードリスト攻撃 になります。 「パスワードリスト攻撃」は、次の問題でおさえておきましょう。
ア. 辞書攻撃のことです。イ. レインボー攻撃のことです。ウ. これが、パスワードリスト攻撃です。エ. ピクチャパスワードとは、タブレット端末で画像を選び、その上でジェスチャをする(直線や円を書く、タップするなど)ことでログインをする方式です。 設問 2下線 ① の、『攻撃の足掛かりとなる情報』について問われています。
図 1. P-SNS のマイページのイメージを見ればよさそうです。
ということで、正解は、アカウント名 です。「アカウント名」が漏れても、「パスワード」が漏れなければ、ログインはされません。しかし、「アカウント名」がわかってしまうと、攻撃の手数を減らしてしまうことになりますことになります。その意味で「アカウント名」は、「攻撃の足掛かり」となる情報なのです。 設問 3 (1)アカウント名とパスワードの設定ポリシを見直して、悪意をもった第三者が P-SNS に不正ログインしにくくする(= 対策 1)について、類推攻撃(= Q さんのアカウントへの攻撃手法)に対する対策として有効ではないものが問われている。
ということで、正解は、「エ. 半年以上ログイン実績がないアカウントの利用停止」となります。この問題も、絶対に落とせません。 整理攻撃に関する用語がたくさんでてきました。過去問知識は、はずせません。覚えるしかないです。 設問 1 a の肢用語をおさえておきましょう。まずは、設問 1 a の肢である「DoS 攻撃」、「サイドチャネル攻撃」、「標的型攻撃」です。 「DoS 攻撃」とは、『サービスを妨害する(IT パスポートH21春 問68)』攻撃です。例えば、『電子メールや Web リクエストなどを大量に送り付けて、ネットワーク上のサービスを提供不能に(IT パスポートH25春 問52)』します。不正プログラムに感染した多数のコンピュータから一斉に行う DoS 攻撃のことを、特に『DDoS 攻撃』と呼びます。 「サイドチャネル攻撃」は、『暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、攻撃対象の機密情報を得る(情報セキュリティスペシャリスト H25春 午前2 問5)』。 「標的型攻撃」とは、特定の組織を狙った攻撃のことです。 設問 1 b の肢こちらも、用語をおさえておきましょう。設問 1 b の肢である「ゼロデイ攻撃」、「総当たり攻撃」、「フィッシング攻撃」です。 「ゼロデイ攻撃」については、次の問題でおさえましょう。
ア. ゼロデイ攻撃のことです。イ. 前述したとおり、DDoS 攻撃のことです。ウ. 後で見ますが、フィッシングのことです。エ. 第三者中継(Third-Party Mail Relay)を悪用した攻撃のことです。 「総当たり攻撃(ブルートフォース攻撃)」についても、次の問題でおさえましょう。
ア. セッションハイジャックのことです。Cookie については、後編で解説します。イ. これです。ブルートフォース攻撃(総当たり攻撃)です。ウ. キーロガーのことです。エ. リプレイ攻撃のことです。 なお、ブルートフォース攻撃は、パスワードクラック以外でも用いられます。
ア. ブルートフォース攻撃(総当たり攻撃)のことです。イ. 線形解読法のことです。おさえなくてよいです。ウ. 前述した、サイドチャネル攻撃のことです。エ. 差分解読法のことです。これも、おさえなくてよいです。 「フィッシング攻撃」についても、次の問題でおさえましょう。
ア. スパイウェア(の一種、アドウェア)です。イ. DDoS 攻撃です。ウ. マルウェアによる攻撃です。エ. フィッシングです。電子メールにあった URL は、本物のサイトを模したサイト(=フィッシングサイト)への URL です。 復習それでは、ざっと復習しましょう。今回は、用語の意味ですね。 おさらい ◆ パスワードクラック
◆ その他の攻撃
今回は、ここまでとします。 パスワード解析の仕組みは?辞書にある単語を片端から入力して試すというもので、そのまま入力するだけでなく大文字と小文字を混在させたり数字を加えたり、辞書や人名録などのリストに載っているような既存の単語や、それらの組み合わせした処理も加えて実行されます。 辞書の内容は単語、人名、地名、暦生年月日、住所録などです。
どこからか入手したID・パスワードのリストを用いて 他のサイトへのログインを試みる手法?パスワードリスト攻撃とは、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートからの不正アクセスを試みるサイバー攻撃です。 ユーザー本人になりすましてアクセスするため、不正かどうか判断しにくいという特徴があります。
別のサービスやシステムから流出したアカウント認証情報を用いて,アカウント認証情報を使い回している利用者のアカウントを乗っ取る攻撃はどれ?パスワードリスト攻撃ネットサービスやコンピュータシステムの利用者アカウントの乗っ取りを試みる攻撃手法の一つで、別のサービスやシステムから流出したアカウント情報を用いてログインを試みる手法です。 流出元と同じアカウント名とパスワードを別のシステムでも使いまわしている利用者のアカウントは不正ログインされてしまいます。
|