令和4年度95テクノロジ系

ITパスポート 令和4年度 問95:情報セキュリティ・攻撃手法に関する問題

攻撃対象とは別のWebサイトから盗み出すなどによって、不正に取得した大量の認証情報を流用し、標的とするWebサイトに不正に侵入を試みるものはどれか。

  • aDoS攻撃
  • bSQLインジェクション
  • cパスワードリスト攻撃正答
  • dフィッシング
正答:Cパスワードリスト攻撃

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c「パスワードリスト攻撃」 です。

どこか別のサイトから盗んだ「ID・パスワードの一覧(リスト)」を使って、別のサイトにも同じIDとパスワードでログインを試す攻撃です。

多くの人が同じパスワードを使い回しているのを悪用します。

👉 覚え方:「盗んだリストを使い回す=パスワードリスト攻撃」。だからパスワードの使い回しは危険!

ほかの選択肢:a DoS攻撃=大量アクセスでサーバをパンクさせる/b SQLインジェクション=データベースを悪用する/d フィッシング=偽サイトで自分から入力させて盗む。

標準試験対策の基準レベル

なぜこれが正解か

正解は c。パスワードリスト攻撃は、別のWebサイトから流出・窃取した大量の認証情報(ID・パスワードの組)を流用し、標的サイトへ不正ログインを試みる攻撃。利用者がパスワードを使い回している場合に成立しやすい。

各選択肢の解説

  • a DoS攻撃:大量リクエストでサーバを過負荷にしサービスを妨害する攻撃。
  • b SQLインジェクション:入力欄に不正なSQL文を注入しデータベースを不正操作する攻撃。
  • d フィッシング:偽サイトやメールで利用者自身に認証情報を入力させて盗む手口。

覚え方・ひっかけ注意

「他サイト流出の認証情報を“リスト”として流用=パスワードリスト攻撃」。総当たりのブルートフォースと混同しやすいが、リスト攻撃は“既知の正しい組”を使う点が違う。対策はパスワードの使い回し回避と多要素認証。

上級誤答論破・背景理論まで深掘り

理論的背景

パスワードリスト攻撃(クレデンシャルスタッフィング:Credential Stuffing)は、他のサービスから流出した「有効な認証情報(ID+パスワードの組)のリスト」を別サービスへの不正ログインに再利用する攻撃手法だ。総当たりのブルートフォース攻撃が"未知のパスワードを推測"するのに対し、この攻撃は"すでに正しいと検証済みの認証情報"を使うため、少ない試行回数で成功率が高く、アカウントロックアウトを回避しやすい。成立の前提は「パスワードの使い回し」で、ユーザーが複数サービスで同一の組合せを使っている場合、一つの流出が連鎖的に被害を広げる。2019年には日本のPayPay・dポイント等の決済サービスで大量のリスト攻撃被害が報道され、被害額は数億円規模に達した事例がある。攻撃者はボットを使って1日数百万〜数億回のログイン試行を自動化でき、大量流出したリストがダークウェブで取引されるエコノミーが形成されている。

実務での使われ方

防御側はいくつかの対策を組み合わせる。レート制限(単位時間あたりの試行回数を制限)とIPレピュテーション(既知のボットIPやTorノードをブロック)で大量試行を遮断する。CAPTCHA(自動化ツールを識別するチャレンジ)でボットのログイン試行を妨げる。しかし最も根本的な対策は多要素認証(MFA)の導入で、認証情報が漏れても第二要素がなければログインできない。利用者側はパスワードマネージャー(1Password・Bitwarden・LastPass等)でサービスごとに異なる長いランダムパスワードを生成・管理し、Have I Been Pwned(haveibeenpwned.com)のような漏えい確認サービスで自分の情報が流出していないか定期的に確認することが推奨される。長期的にはFIDO2パスキーへの移行がパスワード使い回しリスクを根絶する本命対策とされている。

試験での位置づけ

情報セキュリティの攻撃手法分野で近年の最重要テーマの一つ。ITパスポートでは「他のサイトから盗んだ認証情報を流用する」というキーワードからパスワードリスト攻撃を識別する形式が定番化している。ブルートフォース(完全総当たり)・辞書攻撃(よくある単語・パスワードリストを試す)・リバースブルートフォース(1パスワードで多アカウントを試す)・パスワードリスト攻撃(流出済みリストを再利用)の4種類を整理・区別することが、この分野の完全制覇につながる。基本情報技術者・情報処理安全確保支援士ではハッシュ関数とソルト(パスワード保存時の安全な設計)・ストレッチング(ハッシュ反復で総当たりコストを引き上げる)まで問われる。

選択肢の発展補足

選択肢a(DoS攻撃):Denial of Service攻撃。サーバに大量リクエストを送り、正規ユーザーがサービスを使えない状態を作る可用性への攻撃。分散型はDDoS(Distributed DoS)で、ボットネット(マルウェア感染した多数の機器)から同時攻撃する。認証情報の窃取とは異なる目的・手法だ。選択肢b(SQLインジェクション):Webアプリケーションの入力欄に不正なSQL文を注入し、データベースを不正操作・情報を窃取する攻撃。皮肉なことに過去のSQLインジェクション被害で流出したID・パスワードのリストが、後にパスワードリスト攻撃の「材料」として使われるという連鎖構造が存在する。選択肢d(フィッシング):偽サイト・偽メールで利用者を誘導し、本人に認証情報を「自ら入力させて」盗む手口。こちらもパスワードリスト攻撃の入手元になり得る。フィッシングで盗んだ認証情報を複数サービスに試すクレデンシャルスタッフィングという攻撃の連鎖を理解しておくと、応用問題で強い。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和4年度95/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

55
security
56
database
57
database
58
technology_element
59
network

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。