攻撃手法
情報セキュリティマネジメント試験「パスワードリスト攻撃」の問題
あるサービスから流出したIDとパスワードの組を、別のサービスのログインでそのまま試す攻撃が成立しやすくなる利用者の習慣はどれか。
ア記号や数字を混ぜて長く複雑なパスワードにしていること。
イ複数のサービスで同じID・パスワードを使い回していること。
ウログイン時に多要素認証による追加の本人確認を有効にしていること。
エ一定期間ごとにパスワードを別の文字列へ変えていること。
正解
イ.複数のサービスで同じID・パスワードを使い回していること。
パスワードリスト攻撃は、流出した資格情報を別サービスでそのまま試す手口。同じID・パスワードを使い回していると、一か所の流出が連鎖して他サービスの突破を許してしまう。
?選択肢ごとの解説
ア ×長く複雑なパスワードは強度を高める良い習慣で、使い回しを突く本問の攻撃を成立させやすくする要因ではない。
イ ○パスワードリスト攻撃は、流出した資格情報を別サービスでそのまま試す手口。同じID・パスワードを使い回していると、一か所の流出が連鎖して他サービスの突破を許してしまう。
ウ ×多要素認証は不正ログインを防ぐ方向で、本問の攻撃を助長する習慣ではない。
エ ×定期的な変更はむしろ被害を抑える方向で、流出資格情報の使い回しを突く本問の攻撃を助ける習慣ではない。
攻撃手法の他の問題
攻撃者が情報システム部員になりすまして利用者に電話をかけ、「障害調査のため」と称してパスワードを聞き出した。この攻撃の分類と…特定企業を狙い、業務に関係する内容を装ったメールに不正な添付ファイルを付けて送り、長期間にわたり潜伏して情報を窃取しようとす…ソフトウェアの脆弱性が公表され修正プログラムが提供されるより前に、その脆弱性を悪用して行われる攻撃を何というか。実在する銀行を装ったメールで偽のログイン画面へ誘導し、入力された口座番号と暗証番号を盗み取ろうとする手口はどれか。あるアカウントに対し、考えうる文字の組合せを片端から自動で試し続けてパスワードを破ろうとする攻撃はどれか。多数の機器から大量の通信を一斉に送りつけてサーバを過負荷にし、正規の利用者がサービスを使えない状態に陥れる攻撃はどれか。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0026
