応用情報技術者試験 令和4年春 午前問42 解説付き過去問
問題
パスワードクラック手法の一種である、レインボー攻撃に該当するものはどれか。
正解
解説
この問題は、パスワードクラック手法の一つである「レインボー攻撃(レインボーテーブル攻撃)」の特徴と仕組みを正しく理解しているかを問うものです。
- ハッシュ関数とパスワードの保存
- レインボー攻撃の仕組み
- 他の攻撃手法との違い
- パスワードリスト攻撃:他サービスから流出したIDとパスワードのリストを使ってログインを試みる。
- 総当たり攻撃(ブルートフォース):すべての文字列の組合せを試す。
- ソーシャルエンジニアリング:個人情報を聞き出して推測する。
多くのシステムでは、利用者が設定したパスワードを平文のまま保存することはセキュリティ上のリスクがあるため、ハッシュ関数を用いて変換し、そのハッシュ値を保存しています。
ハッシュ関数は一方向性を持つため、ハッシュ値から元の平文パスワードを直接求めることは困難です。
レインボー攻撃では、事前に「平文パスワードと対応するハッシュ値」を計算し、それらをチェーン構造で効率的に管理する「レインボーテーブル」を作成しておきます。
このテーブルを用いることで、不正に入手したハッシュ値と一致するパターンを素早く検索し、対応するパスワードを割り出すことが可能になります。
従来の全件リストによる辞書攻撃よりも、ストレージ容量を抑えつつ高速に検索できる点が特徴です。
レインボー攻撃以外にも、以下のようなパスワードクラック手法があります。
これらの手法はいずれもレインボーテーブルとは異なるアプローチです。
したがって、レインボー攻撃に該当するのは、平文パスワードとハッシュ値をチェーンで管理したテーブルを用いて、ハッシュ値からパスワードを解読する手法です。