応用情報技術者試験 令和6年秋 午前問40 解説付き過去問
問題
パスワードリスト攻撃に該当するものはどれか。
正解
解説
パスワードリスト攻撃とは、他のWebサイトやサービスから流出した利用者IDとパスワードのリストを用いて、別のサービスへのログインを試行する攻撃手法である。多くのユーザーが同じパスワードを複数のサービスで使い回す傾向があるため、有効な攻撃手段となる。
各選択肢の内容について説明する。
各選択肢の内容について説明する。
- 一般的な単語や人名からパスワードのリストを作成し、インターネットバンキングへのログインを試行する。
これは「辞書攻撃」と呼ばれる攻撃手法である。攻撃者は辞書にある一般的な単語や人名を用いてログイン試行を行うため、パスワードの推測を容易にする。しかし、他サイトから流出した認証情報を使用するわけではないため、パスワードリスト攻撃には該当しない。 - 想定し得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する。
これは「レインボーテーブル攻撃」と呼ばれる攻撃手法である。あらかじめ計算したハッシュ値のリストを用意し、流出したパスワードのハッシュ値と照合することで、元のパスワードを割り出す方法である。これもパスワードリスト攻撃とは異なる。 - どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する。
これは「パスワードリスト攻撃」の典型的な手法である。攻撃者は、流出した認証情報を用いて他のサイトにログインを試みる。多くのユーザーが同じパスワードを複数のサービスで使い回しているため、この手法は成功率が高い。 - ピクチャパスワードの入力を録画してリスト化しておき、それを利用することによってタブレット端末へのログインを試行する。
これは「ショルダーハッキング」または「リプレイ攻撃」に分類される手法である。ユーザーが入力するパスワードを盗み見たり録画したりして不正ログインを試みるが、パスワードリスト攻撃とは異なる。