認証管理

情報セキュリティマネジメント試験パスワードの使い回し」の問題

情報セキュリティ管理認証管理難易度:normal
M社は通信販売を営む従業員約300名の企業で、顧客の氏名・住所・購入履歴を扱う。情報システム部のN課長がセキュリティ運用を統括し、社内CSIRTを兼ねる。最近、取引先を装ったメールや在宅勤務の拡大に伴う持出し端末の管理が課題となっている。 他社サービスから流出した可能性のあるIDとパスワードを使い、M社の会員サイトへ不正ログインが試みられた形跡が見つかった。N課長が原因と考えた利用者側の習慣として、この攻撃を成立させやすくするものはどれか。
一定期間ごとにパスワードをまったく別の文字列へ変更していること。
パスワードに記号や数字を混ぜて長く複雑にしていること。
複数のサイトで同じ認証情報を使い回していること。
ログイン時にワンタイムパスワードによる追加確認を有効にしていること。
正解
複数のサイトで同じ認証情報を使い回していること。

パスワードリスト攻撃は、他所で流出した資格情報をそのまま別サービスで試す手口。同一のID/パスワードを複数サービスで使い回していると、一か所の流出が連鎖的に他サービスの突破を許す。

?選択肢ごとの解説

ア ×定期的に別の文字列へ変えることはむしろ被害を抑える方向で、流出資格情報の使い回しを突く本問の攻撃を助長する習慣ではない。
イ ×複雑で長いパスワードは強度を高める良い習慣で、他社流出を悪用する本問の攻撃を成立させやすくする要因とは逆である。
ウ ○パスワードリスト攻撃は、他所で流出した資格情報をそのまま別サービスで試す手口。同一のID/パスワードを複数サービスで使い回していると、一か所の流出が連鎖的に他サービスの突破を許す。
エ ×追加の本人確認は不正ログインを防ぐ方向で、流出資格情報の使い回しを突く本問の攻撃を助ける習慣ではない。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei-0003

【情報セキュリティマネジメント試験】パスワードの使い回しの問題と解答・解説|ukamiru 過去問