情報セキュリティ

基本情報技術者試験アカウントロックアウト」の問題

情報セキュリティ情報セキュリティ難易度:hard
H社の社内システムは、パスワードを3回連続で間違えるとアカウントを管理者が手動解除するまで無期限にロックする方針である。これを悪用し、攻撃者が多数の利用者IDにわざと誤ったパスワードを入力して次々ロックさせ、業務を妨害する事象が発生した。可用性への影響を抑える運用見直しとして最も適切なものはどれか。
ロックが早めにかかるよう、発動までの失敗回数を3回から1回へ引き下げる。
規定回数の失敗後は手動解除を待たず、所定の時間が過ぎれば自動で解除される方式にする。
ロックの仕組み自体を取りやめ、何度でもパスワード入力を試せるようにする。
ロック中のアカウント一覧を毎日全社員へ配信し、状況を周知する。
正解
規定回数の失敗後は手動解除を待たず、所定の時間が過ぎれば自動で解除される方式にする。

無期限ロックは、攻撃者がわざと失敗させるだけで正規利用者を締め出せるため、可用性への攻撃(サービス妨害)に転用されやすい。一定回数失敗後に一定時間で自動解除する方式にすれば、総当たり攻撃の速度は十分に抑えつつ、悪用による恒久的なロックと管理者の手動解除負荷を避けられ、可用性と安全性のバランスがとれる。

?選択肢ごとの解説

ア ×発動を1回に減らすと、正規利用者の単純な打ち間違いでもロックされ、かつ攻撃者はより少ない試行で妨害できるため可用性が一層悪化する。
イ ○無期限ロックは、攻撃者がわざと失敗させるだけで正規利用者を締め出せるため、可用性への攻撃(サービス妨害)に転用されやすい。一定回数失敗後に一定時間で自動解除する方式にすれば、総当たり攻撃の速度は十分に抑えつつ、悪用による恒久的なロックと管理者の手動解除負荷を避けられ、可用性と安全性のバランスがとれる。
ウ ×ロック廃止は総当たり攻撃を無制限に許し、可用性の問題と引き換えに機密性を大きく損なうため、適切な見直しとは言えない。
エ ×ロック一覧の社内公開は状況共有に過ぎず、ロックが故意に多発する問題そのものを解消せず、攻撃の妨害効果も止められない。

くわしく

アカウントロックは総当たり対策(機密性)であると同時に、可用性への攻撃面にもなる諸刃の剣である。無期限ロックは妨害に弱く、自動解除(時間ロック)や試行間隔の遅延(スロットリング)にすれば、攻撃速度を抑えつつ恒久的締め出しを防げる。閾値設定は利便性・可用性・安全性の均衡で決める。

本番での押さえどころ

試験のコツ

ロックの悪用でサービス妨害が起きる事例では、無期限ロックをやめて一定時間で自動解除(時間ロック)が定石。

覚え方

締め出しは『時間が経てば開く』が安全。鍵をかけっぱなしは嫌がらせに利用される。

よくある誤り

『ロックは厳しいほど安全』と考え、回数削減や無期限化を強めてしまう。それは可用性攻撃への脆弱性を高める点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0068

【基本情報技術者試験】アカウントロックアウトの問題 — 解答・解説|ukamiru 過去問