IT PASSPORT
ITパスポートの問題解説
問題
多くの利用者が複数のサイトで同じIDとパスワードを使い回す習慣を悪用し、どこかで漏えいしたIDとパスワードの一覧を別のサイトへそのまま入力してログインを試みる攻撃はどれか。
- ア 辞書攻撃
- イ パスワードリスト攻撃
- ウ ゼロデイ攻撃
- エ 中間者攻撃
出典:オリジナル問題|参考範囲:IPA ITパスポート試験シラバス(最新版)、情報処理技術者試験の基礎知識
正解と解説
正解:パスワードリスト攻撃
解説:パスワードリスト攻撃(クレデンシャルスタッフィング)は、あるサービスから流出したIDとパスワードの組み合わせのリストを使い、別のサービスへ自動的に入力してログインできるか試す攻撃です。多くの人が複数サイトで同じパスワードを使い回しているため、1か所の漏えいが連鎖的な被害につながります。総当たりや辞書攻撃と違って“正しい組み合わせ”を最初から持っている点が特徴で、検知されにくいのも怖いところです。利用者側の対策は、サイトごとに異なるパスワードを使い、多要素認証を有効にすることが基本です。
覚え方:「漏れたリストをそのまま使い回す」のがパスワードリスト攻撃。当てずっぽうで総当たりする辞書攻撃・ブルートフォースとは、“答えを既に持っているかどうか”で区別すると覚えやすいです。
他の選択肢はなぜ違う?
- ア辞書攻撃は、よく使われる単語やパスワードを辞書のように並べて次々に試す攻撃で、漏えい済みのID・パスワードの組をそのまま使い回す攻撃とは異なります。
- ウゼロデイ攻撃は、修正プログラムが提供される前のソフトウェアの脆弱性を突く攻撃であり、漏えいした認証情報の使い回しを狙うものではありません。
- エ中間者攻撃は、通信の途中に割り込んで盗聴・改ざんする攻撃で、漏えいリストを別サイトへ入力する手口とは異なります。
この問題について
IPAのITパスポート試験シラバスとIT基礎知識を参考に、Sikaku Master向けに独自作成した問題です。公式試験問題・過去問題の転載ではありません。
IPAの過去問題の転載ではなく、シラバス・公開情報に基づく独自問題として作成しています。