基本情報技術者試験「認証」の問題
B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事象が発生した。パスワードは推測困難な文字列であり、入力ミスによる失敗はほとんど記録されていない。攻撃手口に対して最も有効な対策はどれか。
ア記号と数字と大文字を必ず含める文字種ポリシーを全利用者に一律で課す。
イ知識要素に加え所持要素による確認を求め、未知の端末からのログインを検知する。
ウ同一IDで規定回数連続して失敗したアカウントを一定時間ロックする。
エログイン画面に画像認証(CAPTCHA)を追加し、機械的な入力試行を抑止する。
正解
イ.知識要素に加え所持要素による確認を求め、未知の端末からのログインを検知する。
本事象は『正しい組合せでログイン成立』『失敗が少ない』ことから、他所で漏えいした認証情報を流用するパスワードリスト攻撃である。知識要素(パスワード)に所持要素を重ねる多要素認証は、パスワードを知っていても第二要素がなければ突破できず、使い回しの問題を根本から無効化する。
?選択肢ごとの解説
ア ×文字種ポリシーは自社のパスワード強度を高めるだけで、既に他サービスから漏れた正しい組合せの流用は防げない。
イ ○本事象は『正しい組合せでログイン成立』『失敗が少ない』ことから、他所で漏えいした認証情報を流用するパスワードリスト攻撃である。知識要素(パスワード)に所持要素を重ねる多要素認証は、パスワードを知っていても第二要素がなければ突破できず、使い回しの問題を根本から無効化する。
ウ ×アカウントロックは多数回の失敗を伴う総当たり攻撃に有効だが、本事象は失敗がほぼなく一発で成立しているため発動しない。
エ ×CAPTCHAは機械的試行の抑止になり一定の効果はあるが、正しい認証情報を持つ攻撃の成立自体は防げず、根本対策にならない。
✎くわしく
攻撃種別の見極めが鍵である。総当たり(ブルートフォース)やパスワードスプレーは失敗が多発するためロックや遅延が効くが、パスワードリスト攻撃は正答を最初から知っているため失敗が少ない。失敗記録の有無が判別材料になる。
✓本番での押さえどころ
試験のコツ
『失敗が少ない/正しい組合せで成立』はパスワードリスト攻撃のサイン。対策は使い回し前提を崩す多要素認証。
覚え方
リスト攻撃は『答えを持って来る』ので、ロック(間違い検知)ではなく『鍵を増やす(多要素)』で対抗。
よくある誤り
『ログイン攻撃=アカウントロック』と短絡してウを選ぶ。攻撃手口によって有効な対策が異なる点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…G社では情報セキュリティインシデントが発生した際、各部署が個別に対応し、被害状況の集約や対外的な情報発信が混乱した経緯がある…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0002