基本情報技術者試験「アカウントロックアウト」の問題
H社の社内システムは、パスワードを3回連続で間違えるとアカウントを管理者が手動解除するまで無期限にロックする方針である。これを悪用し、攻撃者が多数の利用者IDにわざと誤ったパスワードを入力して次々ロックさせ、業務を妨害する事象が発生した。可用性への影響を抑える運用見直しとして最も適切なものはどれか。
アロックが早めにかかるよう、発動までの失敗回数を3回から1回へ引き下げる。
イ規定回数の失敗後は手動解除を待たず、所定の時間が過ぎれば自動で解除される方式にする。
ウロックの仕組み自体を取りやめ、何度でもパスワード入力を試せるようにする。
エロック中のアカウント一覧を毎日全社員へ配信し、状況を周知する。
正解
イ.規定回数の失敗後は手動解除を待たず、所定の時間が過ぎれば自動で解除される方式にする。
無期限ロックは、攻撃者がわざと失敗させるだけで正規利用者を締め出せるため、可用性への攻撃(サービス妨害)に転用されやすい。一定回数失敗後に一定時間で自動解除する方式にすれば、総当たり攻撃の速度は十分に抑えつつ、悪用による恒久的なロックと管理者の手動解除負荷を避けられ、可用性と安全性のバランスがとれる。
?選択肢ごとの解説
ア ×発動を1回に減らすと、正規利用者の単純な打ち間違いでもロックされ、かつ攻撃者はより少ない試行で妨害できるため可用性が一層悪化する。
イ ○無期限ロックは、攻撃者がわざと失敗させるだけで正規利用者を締め出せるため、可用性への攻撃(サービス妨害)に転用されやすい。一定回数失敗後に一定時間で自動解除する方式にすれば、総当たり攻撃の速度は十分に抑えつつ、悪用による恒久的なロックと管理者の手動解除負荷を避けられ、可用性と安全性のバランスがとれる。
ウ ×ロック廃止は総当たり攻撃を無制限に許し、可用性の問題と引き換えに機密性を大きく損なうため、適切な見直しとは言えない。
エ ×ロック一覧の社内公開は状況共有に過ぎず、ロックが故意に多発する問題そのものを解消せず、攻撃の妨害効果も止められない。
✎くわしく
アカウントロックは総当たり対策(機密性)であると同時に、可用性への攻撃面にもなる諸刃の剣である。無期限ロックは妨害に弱く、自動解除(時間ロック)や試行間隔の遅延(スロットリング)にすれば、攻撃速度を抑えつつ恒久的締め出しを防げる。閾値設定は利便性・可用性・安全性の均衡で決める。
✓本番での押さえどころ
試験のコツ
ロックの悪用でサービス妨害が起きる事例では、無期限ロックをやめて一定時間で自動解除(時間ロック)が定石。
覚え方
締め出しは『時間が経てば開く』が安全。鍵をかけっぱなしは嫌がらせに利用される。
よくある誤り
『ロックは厳しいほど安全』と考え、回数削減や無期限化を強めてしまう。それは可用性攻撃への脆弱性を高める点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0068