【ITパスポート練習問題 6.3対応】(4) 攻撃手法 – 1

【解説】

正解: 2 辞書に載っている単語やフレーズを使って試行する攻撃

この問題は、パスワードを破るための攻撃手法の一つである「辞書攻撃」の仕組みを正しく理解しているかを確認するものです。

正解の「辞書に載っている単語やフレーズを使って試行する攻撃」は、辞書攻撃の定義そのものです。攻撃者は、一般的な辞書に載っている単語や、よく使われるパスワード（「password」「123456」など）のリスト（辞書ファイル）を用意し、それらを順番に試すことで、効率的にパスワードを特定しようとします。

選択肢1の「あらゆる文字列の組み合わせを試す攻撃」は「総当たり攻撃（ブルートフォース攻撃）」の特徴です。選択肢3の「複数のパスワードを同時に試行する攻撃」は、具体的な攻撃手法の定義とは少し異なりますが、並列処理などを指す場合があり、辞書攻撃の説明としては不適切です。

【解説】

正解: 2 複雑なパスワードを使用する

この問題は、辞書攻撃の仕組みを踏まえた上で、それを回避するためのパスワード設定のルールを理解しているかを確認するものです。

正解は「複雑なパスワードを使用する」です。辞書攻撃は、あらかじめリスト化された単語を使用するため、英字の大文字・小文字、数字、記号を混ぜたランダムに近い複雑なパスワードであれば、リストに含まれている可能性が低くなり、攻撃を防ぐことができます。

選択肢1の「パスワードを頻繁に変更する」は、単純なパスワードを使っている限り辞書攻撃のリスクは減りません。選択肢3の「同じパスワードを複数のサイトで使用する」は、パスワードリスト攻撃のリスクを高める危険な行為です。

【解説】

正解: 1 英単語だけで構成されたもの

この問題は、どのようなパスワードが脆弱で攻撃されやすいか、辞書攻撃のターゲットになりやすい特徴を理解しているかを確認するものです。

正解は「英単語だけで構成されたもの」です。辞書攻撃では、一般的に使われる英単語がリストの最上位に含まれていることが多いため、「apple」や「admin」といった単語のみのパスワードは、瞬時に破られる可能性が高くなります。

選択肢2の「数字のみで構成されたもの」も単純であれば総当たりで破られますが、辞書攻撃の文脈では英単語が最も代表的です。選択肢3の「無作為な文字列で構成されたもの」は、辞書には載っていないため、この攻撃に対しては耐性が高くなります。

【解説】

正解: 3 すべての可能な組み合わせを試す攻撃

この問題は、最も原始的かつ確実なパスワード解読手法である「総当たり攻撃（ブルートフォース攻撃）」の定義を理解しているかを確認するものです。

正解は「すべての可能な組み合わせを試す攻撃」です。「aaaa」から「zzzz」までのように、文字の種類と桁数の全パターンをしらみつぶしに試行します。時間がかかっても理論上はいずれ必ず正解にたどり着くのが特徴です。

選択肢1の「一般的な単語を優先して試す攻撃」は「辞書攻撃」です。選択肢2の「複数のアカウントを同時に狙う攻撃」は、パスワードスプレー攻撃などの特徴です。

【解説】

正解: 2 ログイン試行回数の制限を設ける

この問題は、Webサービスなどのシステム管理者が、総当たり攻撃に対してどのような防御策を講じるべきかを理解しているかを確認するものです。

正解は「ログイン試行回数の制限を設ける」です。連続してパスワードを間違えた場合にアカウントを一時的にロック（利用停止）する機能を導入すれば、攻撃者は大量のパターンを試すことができなくなり、物理的に総当たり攻撃を阻止できます。

選択肢1の「パスワードに英単語を使用する」は、かえってセキュリティ強度を下げるため逆効果です。選択肢3の「同じパスワードを複数のサイトで使用する」は、ユーザー側の危険な行為であり、防御策ではありません。

【解説】

正解: 1 パスワードが短く単純な場合

この問題は、パスワードの「長さ」と「複雑さ」が、解読されるまでの時間にどう影響するかを理解しているかを確認するものです。

正解は「パスワードが短く単純な場合」です。桁数が少なく文字種も少ない場合、組み合わせの総数が大幅に減るため、総当たり攻撃を行っても短時間で正解が見つかってしまいます。

選択肢2の「パスワードが複雑で長い場合」は、組み合わせ数が天文学的な数字になるため、解読に現実的ではない時間がかかり、攻撃は成功しにくくなります。選択肢3の「パスワードが頻繁に変更される場合」は、総当たり攻撃の成功率とは直接的な関係は薄いです（変更直後に破られる可能性もあるため）。

【解説】

正解: 3 流出したアカウント情報を使って他のサイトにログインを試みる攻撃

この問題は、近年被害が増加している「パスワードリスト攻撃（クレデンシャルスタッフィング）」の手口を理解しているかを確認するものです。

正解は「流出したアカウント情報を使って他のサイトにログインを試みる攻撃」です。攻撃者は、あるサイトAから漏洩したIDとパスワードのリストを入手し、それを別のサイトBやCでのログイン試行に使います。これは「ユーザーはパスワードを使い回していることが多い」という傾向を悪用した攻撃です。

選択肢1の「すべての可能なパスワードを試す攻撃」は「総当たり攻撃」です。選択肢2の「辞書に載っている単語を使う攻撃」は「辞書攻撃」です。

【解説】

正解: 2 各サイトで異なるパスワードを使用する

この問題は、パスワードリスト攻撃に対するユーザー側の最も確実な対策を理解しているかを確認するものです。

正解は「各サイトで異なるパスワードを使用する」です。サイトごとに違うパスワードを設定していれば、仮に一つのサイトから情報が漏れても、そのIDとパスワードの組み合わせは他のサイトでは通用しないため、ドミノ倒しのような被害拡大を防ぐことができます。

選択肢1の「複数のサイトで同じパスワードを使う」は、この攻撃の被害に遭う最大の原因です。選択肢3の「英単語のみでパスワードを構成する」は、辞書攻撃に弱くなるため不適切です。

【解説】

正解: 2 ユーザーが同じパスワードを複数のサイトで使用している場合

この問題は、パスワードリスト攻撃が成立するための前提条件、つまりユーザーのリスク行動を理解しているかを確認するものです。

正解は「ユーザーが同じパスワードを複数のサイトで使用している場合」です。この攻撃は「入手した鍵（パスワード）が他の家のドア（別のサイト）も開けられる」ことを期待して行われます。したがって、使い回しが行われている場合にのみ、攻撃者の狙い通りになります。

選択肢1の「ユーザーが強力なパスワードを設定している場合」でも、使い回していればリスト攻撃で破られます。選択肢3の「ユーザーが定期的にパスワードを変更している場合」は、使い回しをやめることの方が重要です。

【解説】

正解: 1 ユーザーのブラウザでスクリプトを実行させること

この問題は、Webアプリケーションの脆弱性攻撃の一つである「クロスサイトスクリプティング（XSS）」の仕組みと影響を理解しているかを確認するものです。

正解は「ユーザーのブラウザでスクリプトを実行させること」です。攻撃者はWebページに悪意のあるスクリプト（プログラム）を埋め込みます。そのページを閲覧したユーザーのブラウザ上でスクリプトが実行されることで、クッキー情報の盗難や、偽の入力フォームへの誘導などが行われます。

選択肢2の「サーバーのパフォーマンスを向上させること」や、選択肢3の「ウェブページのデザインを変更すること」は、XSSの攻撃目的ではありません。

【解説】

正解: 2 Webサイトの入力フィールドでユーザーの入力内容をサニタイズする

この問題は、XSS脆弱性を作り込まないための、開発者側の対策手法を理解しているかを確認するものです。

正解は「Webサイトの入力フィールドでユーザーの入力内容をサニタイズする」です。サニタイズ（無害化）とは、入力されたデータに含まれる特別な意味を持つ文字（“など）を、単なる文字として扱うように変換（エスケープ処理）することです。これにより、ブラウザが誤ってスクリプトとして実行するのを防ぎます。

選択肢1の「クッキーの使用を禁止する」はWebサービスの利便性を損なうため現実的ではありません。選択肢3の「JavaScriptをすべて無効にする」も、現代のWebサイト閲覧においては現実的な対策ではありません。

【解説】

正解: 3 Webページに表示されるユーザー入力内容にスクリプトを埋め込むこと

この問題は、XSS攻撃が具体的にどのような操作によって行われるかをイメージできているかを確認するものです。

正解は「Webページに表示されるユーザー入力内容にスクリプトを埋め込むこと」です。例えば、掲示板やSNSのコメント欄などに、文字の代わりに`…`といったコードを投稿します。対策されていないサイトでは、その投稿を見た他のユーザーの画面でコードが実行されてしまいます。

選択肢1の「ウェブサーバーの物理的破壊」はサイバー攻撃の範疇を超えています。選択肢2の「ユーザーのパスワードをリセットすること」は攻撃の結果として起こり得ることですが、攻撃手法そのものの説明ではありません。

【解説】

正解: 1 ユーザーに意図しない操作を行わせる攻撃

この問題は、「クロスサイトリクエストフォージェリ（CSRF）」という攻撃手法の定義と、何が悪用されるかを理解しているかを確認するものです。

正解は「ユーザーに意図しない操作を行わせる攻撃」です。攻撃者は、Webサービスにログイン中のユーザーを罠サイトに誘導し、裏で勝手に「送金」や「退会」、「掲示板への書き込み」などのリクエスト（要求）を送信させます。サーバー側は正規のユーザーからの要求と区別がつかずに処理してしまう点が特徴です。

選択肢2の「ユーザーのクッキー情報を盗む攻撃」は主にXSSの特徴です。選択肢3の「サーバーに対してDDoS攻撃を仕掛ける攻撃」は全く異なる攻撃です。

【解説】

正解: 3 リクエストごとにCSRFトークンを使用する

この問題は、CSRF攻撃を防ぐためのWebアプリケーション実装上の具体的な対策を理解しているかを確認するものです。

正解は「リクエストごとにCSRFトークンを使用する」です。トークンとは、一度きりの合言葉のようなものです。サーバーは画面を表示する際に秘密のトークンを発行し、フォーム送信時にそのトークンが合っているかを確認します。攻撃者はこのトークンを知ることができないため、不正なリクエストを送っても拒否されます。

選択肢1の「パスワードを強化する」や、選択肢2の「ユーザーのIPアドレスを固定する」は、CSRF対策としては機能しません。

【解説】

正解: 2 ユーザーの認証情報を利用して不正な操作を行わせる

この問題は、CSRF攻撃が「誰の権限」を利用して行われるかという仕組みを理解しているかを確認するものです。

正解は「ユーザーの認証情報を利用して不正な操作を行わせる」です。Webブラウザは、あるサイトへのリクエストを送る際、保存されている認証情報（Cookieなど）を自動的に送信する性質があります。CSRFはこの性質を悪用し、ログイン済みのユーザーになりすまして操作を実行させます。

選択肢1の「悪意のあるスクリプトをユーザーのブラウザで実行する」はXSSの説明に近い内容です。選択肢3の「ウェブサーバーに対してSQLインジェクションを仕掛ける」はデータベースへの攻撃です。

【解説】

正解: 2 ユーザーに意図しないボタンをクリックさせること

この問題は、Webページの見た目を操作してユーザーを騙す「クリックジャッキング」攻撃の目的を理解しているかを確認するものです。

正解は「ユーザーに意図しないボタンをクリックさせること」です。攻撃者は、無害なページの上に、透明にした「SNSのいいねボタン」や「設定変更ボタン」などを重ねて配置します。ユーザーは無害なページをクリックしたつもりでも、実際には透明なボタンをクリックさせられてしまいます。

選択肢1の「ウェブページのデザインを改善すること」や、選択肢3の「サーバーのパフォーマンスを向上させること」は、攻撃者の目的ではありません。

【解説】

正解: 1 Webページにフレームの使用を禁止するヘッダーを追加する

この問題は、クリックジャッキング攻撃を防ぐために、Webサイト運営者が設定すべきHTTPヘッダについて理解しているかを確認するものです。

正解は「Webページにフレームの使用を禁止するヘッダーを追加する」です。具体的には`X-Frame-Options`ヘッダなどで、自サイトのページが他人のサイトのフレーム（iframe）内に読み込まれることを禁止します。これにより、攻撃者は自分のサイトにターゲットサイトを透明に重ねることができなくなります。

選択肢2の「パスワードを複雑にする」や、選択肢3の「クッキーの保存期間を短くする」は、この攻撃への対策にはなりません。

【解説】

正解: 2 ユーザーのクリック位置を意図的にずらす

この問題は、クリックジャッキングがどのような視覚的トリックを用いているかを理解しているかを確認するものです。

正解は「ユーザーのクリック位置を意図的にずらす」です。正確には、ユーザーが見ているボタンの位置と、実際にクリック判定がある（透明化された）ボタンの位置を重ね合わせることで、ユーザーの認識と実際の操作にズレを生じさせます。

選択肢1の「ウェブページのロードを遅くする」や、選択肢3の「ユーザーのブラウザ履歴を追跡する」は、クリックジャッキングの手法ではありません。

【解説】

正解: 3 Webページを閲覧するだけでマルウェアがダウンロードされる

この問題は、ユーザーが特別な操作をしなくても感染してしまう「ドライブバイダウンロード」攻撃の恐ろしさと特徴を理解しているかを確認するものです。

正解は「Webページを閲覧するだけでマルウェアがダウンロードされる」です。攻撃者はWebサイトを改ざんしてウイルスを仕込みます。ユーザーがそのページを開くと、ブラウザやプラグインの脆弱性が悪用され、気付かないうちにマルウェアがダウンロード・実行されてしまいます。

選択肢1の「ユーザーがリンクをクリックしなければ感染しない」というのは誤りであり、この攻撃の最大の特徴は「見るだけで感染する」点にあります。選択肢2はメール経由の攻撃の説明です。

【解説】

正解: 1 Webブラウザとプラグインを最新の状態に保つ

この問題は、ドライブバイダウンロード攻撃の足がかりとなる「脆弱性」をなくすための対策を理解しているかを確認するものです。

正解は「Webブラウザとプラグインを最新の状態に保つ」です。この攻撃は、ソフトウェアの不具合（セキュリティホール）を利用して行われます。したがって、OS、ブラウザ、PDF閲覧ソフトなどを常に最新版にアップデートし、穴を塞いでおくことが最も有効な防御策となります。

選択肢2の「パスワードを定期的に変更する」や、選択肢3の「クッキーの保存期間を短くする」は、マルウェアの強制ダウンロードを防ぐ効果はありません。

【解説】

正解: 1 信頼性の低いWebサイトを閲覧したとき

この問題は、どのような行動がドライブバイダウンロードのリスクを高めるかを理解しているかを確認するものです。

正解は「信頼性の低いWebサイトを閲覧したとき」です。アダルトサイトや違法サイトなどは、セキュリティ対策が不十分だったり、攻撃者が意図的に設置していたりする可能性が高く、閲覧するだけで感染するリスクがあります。ただし、正規の企業サイトが改ざんされて発生するケースもあるため、すべてのサイトで油断はできません。

選択肢2の「電子メールの添付ファイルを開いたとき」は標的型攻撃メールなどのリスクです。選択肢3の「フィッシングサイトに個人情報を入力したとき」は情報の窃取が主な被害です。

【解説】

正解: 1 データベースに対して不正な操作を行うこと

この問題は、Webアプリケーションの背後にあるデータベースを狙った「SQLインジェクション」攻撃の目的を理解しているかを確認するものです。

正解は「データベースに対して不正な操作を行うこと」です。Webフォームなどの入力欄に、データベースへの命令文（SQL）の断片を入力することで、本来アクセスできないデータを盗み見たり、データを消去・改ざんしたりします。

選択肢2の「サーバーのパフォーマンスを向上させること」や、選択肢3の「Webページのデザインを変更すること」は、SQLインジェクションの目的ではありません。

【解説】

正解: 2 ユーザー入力を適切にエスケープ処理する

この問題は、SQLインジェクションを防ぐための、プログラミングにおける基本的なセキュリティ対策を理解しているかを確認するものです。

正解は「ユーザー入力を適切にエスケープ処理する」です。入力された文字の中に、SQL文として意味を持つ特殊文字（シングルクォート `’` など）が含まれていた場合、それを無害な文字として扱うように変換処理を行います。また、「プレースホルダ」を利用してSQL文の骨組みと入力値を分離する方法も推奨されます。

選択肢1の「Webページにフレームの使用を禁止する」はクリックジャッキング対策です。選択肢3の「パスワードを複雑にする」は認証強度の対策であり、インジェクション対策ではありません。

【解説】

正解: 2 入力データが適切に検証されていない場合

この問題は、なぜSQLインジェクションが可能になってしまうのか、その根本原因である脆弱性の所在を理解しているかを確認するものです。

正解は「入力データが適切に検証されていない場合」です。アプリケーションがユーザーからの入力を信用しすぎて、そのままデータベースへの命令文として結合してしまう作りになっていると、攻撃者が入力した悪意ある命令がそのまま実行されてしまいます。

選択肢1の「データベースが暗号化されていない場合」は情報漏洩時の被害拡大には関係しますが、攻撃の成立そのものとは関係ありません。選択肢3の「サーバーが高性能である場合」は無関係です。