応用情報技術者試験平成30年秋午前問42 解説付き過去問

問題

ブルートフォース攻撃に該当するものはどれか。

WebブラウザとWebサーバの間の通信で、認証が成功してセッションが開始されているときに、Cookieなどのセッション情報を盗む。

コンピュータへのキー入力を全て記録して外部に送信する。

使用可能な文字のあらゆる組合せをそれぞれパスワードとして、繰り返しログインを試みる。

正当な利用者のログインシーケンスを盗聴者が記録してサーバに送信する。

ブルートフォース攻撃に関する問題では、正しい攻撃方法について理解することが求められています。

ブルートフォース攻撃の定義
ブルートフォース攻撃は、全ての可能な文字の組み合わせを用いてシステムへのログインを試みる攻撃方法です。この攻撃は、効率は低いものの、最終的には正しいパスワードを見つけ出す可能性があります。この方法では、単純から複雑までの全てのパスワード候補を試します。
他の選択肢との比較
第一の選択肢はセッションハイジャック、第二の選択肢はキーロガーによる攻撃、第四の選択肢はリプレイ攻撃に該当します。これらはブルートフォース攻撃とは異なり、既存のデータやセッションを利用するか、ユーザーの行動を盗み見ることに重点を置いています。

したがって、使用可能な文字のあらゆる組合せをそれぞれパスワードとして、繰り返しログインを試みる選択肢がブルートフォース攻撃に該当します。この手法は、セキュリティ強度の低いパスワードに対して特に効果的です。