情報セキュリティ

基本情報技術者試験認証」の問題

情報セキュリティ情報セキュリティ難易度:hard
B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事象が発生した。パスワードは推測困難な文字列であり、入力ミスによる失敗はほとんど記録されていない。攻撃手口に対して最も有効な対策はどれか。
記号と数字と大文字を必ず含める文字種ポリシーを全利用者に一律で課す。
知識要素に加え所持要素による確認を求め、未知の端末からのログインを検知する。
同一IDで規定回数連続して失敗したアカウントを一定時間ロックする。
ログイン画面に画像認証(CAPTCHA)を追加し、機械的な入力試行を抑止する。
正解
知識要素に加え所持要素による確認を求め、未知の端末からのログインを検知する。

本事象は『正しい組合せでログイン成立』『失敗が少ない』ことから、他所で漏えいした認証情報を流用するパスワードリスト攻撃である。知識要素(パスワード)に所持要素を重ねる多要素認証は、パスワードを知っていても第二要素がなければ突破できず、使い回しの問題を根本から無効化する。

?選択肢ごとの解説

ア ×文字種ポリシーは自社のパスワード強度を高めるだけで、既に他サービスから漏れた正しい組合せの流用は防げない。
イ ○本事象は『正しい組合せでログイン成立』『失敗が少ない』ことから、他所で漏えいした認証情報を流用するパスワードリスト攻撃である。知識要素(パスワード)に所持要素を重ねる多要素認証は、パスワードを知っていても第二要素がなければ突破できず、使い回しの問題を根本から無効化する。
ウ ×アカウントロックは多数回の失敗を伴う総当たり攻撃に有効だが、本事象は失敗がほぼなく一発で成立しているため発動しない。
エ ×CAPTCHAは機械的試行の抑止になり一定の効果はあるが、正しい認証情報を持つ攻撃の成立自体は防げず、根本対策にならない。

くわしく

攻撃種別の見極めが鍵である。総当たり(ブルートフォース)やパスワードスプレーは失敗が多発するためロックや遅延が効くが、パスワードリスト攻撃は正答を最初から知っているため失敗が少ない。失敗記録の有無が判別材料になる。

本番での押さえどころ

試験のコツ

『失敗が少ない/正しい組合せで成立』はパスワードリスト攻撃のサイン。対策は使い回し前提を崩す多要素認証。

覚え方

リスト攻撃は『答えを持って来る』ので、ロック(間違い検知)ではなく『鍵を増やす(多要素)』で対抗。

よくある誤り

『ログイン攻撃=アカウントロック』と短絡してウを選ぶ。攻撃手口によって有効な対策が異なる点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0002

【基本情報技術者試験】認証の問題 — 解答・解説|ukamiru 過去問