応用情報技術者試験 令和5年秋 午前問36 解説付き過去問

この問題は、パスワードクラックの手法の一つである「レインボーテーブル攻撃」の特徴を正しく理解しているかを問うものです。以下の手順で解説します。

1. ハッシュ関数とパスワードの関係

多くのシステムでは、利用者が入力したパスワードを平文のまま保存せず、ハッシュ関数を用いてハッシュ値に変換した状態で保存します。
このとき、ハッシュ関数は一方向性をもつため、元のパスワードをハッシュ値から直接求めることは困難です。

2. レインボーテーブル攻撃の仕組み

レインボーテーブル攻撃では、事前にさまざまな文字列のハッシュ値を計算し、それをチェーン（連鎖）形式で保存したテーブルを作成しておきます。
このテーブルには、パスワード候補とそのハッシュ値の対応が格納されており、ハッシュ値から元のパスワードを高速に推測するために利用されます。
攻撃者は不正に取得したハッシュ値をこのテーブルと照合することで、平文のパスワードを割り出すことができます。

3. 他の攻撃手法との違い

レインボーテーブル攻撃以外の代表的なパスワードクラック手法には以下のようなものがあります。

• パスワードリスト攻撃：事前に入手したIDとパスワードの組を使ってログインを試行する。
• ブルートフォース攻撃（総当たり攻撃）：可能な文字列を全て試すことでパスワードを割り出す。
• ソーシャルエンジニアリング：個人情報を聞き出し、そこからパスワードを類推する。

したがって、レインボーテーブル攻撃に該当するのは、平文のパスワードとハッシュ値をチェーン形式で保存したテーブルを用いてハッシュ値からパスワードを割り出す手法です。