このページは以下の「ITパスポート シラバス6.3」学習用コンテンツです。
◆大分類:9.技術要素
◆中分類:23.セキュリティ
| ◆小分類 | ◆見出し | ◆学習すべき用語 |
|---|---|---|
| 61.情報セキュリティ | (4) 攻撃手法 – 1 | 辞書攻撃 総当たり(ブルートフォース)攻撃 パスワードリスト攻撃(クレデンシャルスタッフィング) クロスサイトスクリプティング クロスサイトリクエストフォージェリ クリックジャッキング ドライブバイダウンロード SQLインジェクション |
辞書攻撃とは?
辞書攻撃は攻撃者が予め用意した辞書(リスト)に載っている単語やフレーズを順次試して、正しいパスワードや暗証番号を探し出す攻撃手法です。この攻撃は特に、簡単な単語やよく使われるパスワードを特に設定している場合に効果的です。
辞書攻撃は総当たり攻撃に似ていますが、総当たり攻撃がすべての可能な組み合わせを試すのに対して、辞書攻撃は一般的に使われやすい単語やフレーズに絞って試みます。
辞書攻撃に関する学習用問題にトライ!
問題
辞書攻撃とはどのような攻撃手法ですか?
- あらゆる文字列の組み合わせを試す攻撃
- 辞書に載っている単語やフレーズを使って試行する攻撃
- 複数のパスワードを同時に試行する攻撃
%%replace6%%
正解
2 辞書に載っている単語やフレーズを使って試行する攻撃
解説
辞書攻撃は予め用意されたリストにある単語やフレーズを使って、正しいパスワードを見つけ出す手法です。
総当たり攻撃がすべての組み合わせを試すのに対し、辞書攻撃はその中でもよく使われる単語に焦点を当てることで、効率よくパスワードを見つけることができる場合があります。
問題
辞書攻撃に対して最も効果的な対策はどれですか?
- パスワードを頻繁に変更する
- 複雑なパスワードを使用する
- 同じパスワードを複数のサイトで使用する
%%replace6%%
正解
2 複雑なパスワードを使用する
解説
辞書攻撃に対抗するためには辞書に含まれない複雑なパスワードを設定することが重要です。
パスワードに記号や数字を含めることで、辞書に載っている単語やフレーズを回避することができます。頻繁にパスワードを変更することも有効ですが、まずはパスワードの複雑さが優先されます。
問題
辞書攻撃が成功しやすいパスワードの特徴はどれですか?
- 英単語だけで構成されたもの
- 数字のみで構成されたもの
- 無作為な文字列で構成されたもの
%%replace6%%
正解
1 英単語だけで構成されたもの
解説
辞書攻撃は一般的な英単語やフレーズを試す攻撃であるため、英単語だけで構成されたパスワードは特に狙われやすくなります。
無作為な文字列や数字のみのパスワードは、辞書攻撃に対して比較的強いといえます。
総当たり(ブルートフォース)攻撃とは?
総当たり攻撃は可能なすべての文字列の組み合わせを試行して、正しいパスワードや暗証番号を探し出す手法です。
攻撃者は一定のアルゴリズムに基づいて順番にパスワードを試していき成功するまで続けます。この方法は非常に時間がかかりますが、コンピュータの処理能力が向上した現在では短時間で多くの試行が可能です。
総当たり(ブルートフォース)攻撃に関する学習用問題にトライ!
問題
総当たり(ブルートフォース)攻撃の特徴として最も適切なものはどれですか?
- 一般的な単語を優先して試す攻撃
- 複数のアカウントを同時に狙う攻撃
- すべての可能な組み合わせを試す攻撃
%%replace6%%
正解
3 すべての可能な組み合わせを試す攻撃
解説
総当たり攻撃はあらゆる可能なパスワードの組み合わせを一つずつ試行していく方法です。この攻撃は時間がかかるものの、理論的には必ず正しいパスワードを見つけることができる手法です。
一般的な単語に焦点を当てた辞書攻撃とは異なります。
問題
総当たり攻撃に最も効果的な防御策はどれですか?
- パスワードに英単語を使用する
- ログイン試行回数の制限を設ける
- 同じパスワードを複数のサイトで使用する
%%replace6%%
正解
2 ログイン試行回数の制限を設ける
解説
総当たり攻撃に対する効果的な防御策の一つは一定回数以上の失敗後にアカウントをロックするログイン試行回数の制限を設けることです。攻撃者がすべての組み合わせを試行することが難しくなります。
問題
総当たり攻撃が成功する可能性が高くなるのはどのような場合ですか?
- パスワードが短く単純な場合
- パスワードが複雑で長い場合
- パスワードが頻繁に変更される場合
%%replace6%%
正解
1 パスワードが短く単純な場合
解説
総当たり攻撃ではパスワードが短く単純であるほど、すべての組み合わせを試す時間が短縮され、攻撃が成功しやすくなります。
複雑で長いパスワードは試行回数が増えるため攻撃の成功率を下げることができます。
パスワードリスト攻撃(クレデンシャルスタッフィング)とは?
パスワードリスト攻撃(クレデンシャルスタッフィング)は攻撃者が以前に流出したアカウント情報(ユーザー名とパスワードの組み合わせ)を使って、他のサービスやサイトへのログインを試みる攻撃です。
同じパスワードを複数のサイトで使い回しているユーザーが多いことを悪用した手法です。
パスワードリスト攻撃(クレデンシャルスタッフィング)に関する学習用問題にトライ!
問題
パスワードリスト攻撃(クレデンシャルスタッフィング)とはどのような攻撃ですか?
- すべての可能なパスワードを試す攻撃
- 辞書に載っている単語を使う攻撃
- 流出したアカウント情報を使って他のサイトにログインを試みる攻撃
%%replace6%%
正解
3 流出したアカウント情報を使って他のサイトにログインを試みる攻撃
解説
パスワードリスト攻撃は流出したユーザー名とパスワードの組み合わせを使用して、他のサービスやサイトへの不正アクセスを試みる手法です。同じパスワードを使い回している場合、複数のアカウントが一度に乗っ取られるリスクが高まります。
問題
パスワードリスト攻撃を防ぐために有効な対策はどれですか?
- 複数のサイトで同じパスワードを使う
- 各サイトで異なるパスワードを使用する
- 英単語のみでパスワードを構成する
%%replace6%%
正解
2 各サイトで異なるパスワードを使用する
解説
パスワードリスト攻撃に対して効果的な対策は各サイトで異なるパスワードを設定することです。仮に一つのサイトでパスワードが漏洩しても、他のサイトのアカウントが危険にさらされるリスクを減少させることができます。
問題
パスワードリスト攻撃が有効となる条件はどれですか?
- ユーザーが強力なパスワードを設定している場合
- ユーザーが同じパスワードを複数のサイトで使用している場合
- ユーザーが定期的にパスワードを変更している場合
%%replace6%%
正解
2 ユーザーが同じパスワードを複数のサイトで使用している場合
解説
パスワードリスト攻撃はユーザーが同じパスワードを複数のサイトで使用している場合に特に有効です。一つのサイトから漏洩したパスワードを使って他のサイトにもログインできる可能性があるためです。
クロスサイトスクリプティングとは?
クロスサイトスクリプティング(XSS)は攻撃者がWebサイトに悪意のあるスクリプトを埋め込み、ユーザーのブラウザでそのスクリプトを実行させる攻撃手法です。
ユーザーのクッキー情報やセッション情報が盗まれることがあり、フィッシング詐欺やアカウント乗っ取りに利用されることがあります。
クロスサイトスクリプティングに関する学習用問題にトライ!
問題
クロスサイトスクリプティング(XSS)の主な目的は何ですか?
- ユーザーのブラウザでスクリプトを実行させること
- サーバーのパフォーマンスを向上させること
- ウェブページのデザインを変更すること
%%replace6%%
正解
1 ユーザーのブラウザでスクリプトを実行させること
解説
クロスサイトスクリプティング(XSS)は攻撃者が悪意のあるスクリプトをWebサイトに埋め込み、それを訪れたユーザーのブラウザで実行させる攻撃です。
ユーザーのクッキーやセッション情報が盗まれ、悪意のある操作が行われる可能性があります。
問題
クロスサイトスクリプティング(XSS)の被害を防ぐために有効な対策はどれですか?
- クッキーの使用を禁止する
- Webサイトの入力フィールドでユーザーの入力内容をサニタイズする
- JavaScriptをすべて無効にする
%%replace6%%
正解
2 Webサイトの入力フィールドでユーザーの入力内容をサニタイズする
解説
クロスサイトスクリプティング(XSS)攻撃を防ぐためには、Webサイトでユーザーの入力内容を適切にサニタイズ(無害化)することが重要です。悪意のあるスクリプトが埋め込まれるリスクを減少させることができます。
問題
クロスサイトスクリプティング(XSS)攻撃の一例として最も適切なものはどれですか?
- ウェブサーバーの物理的破壊
- ユーザーのパスワードをリセットすること
- Webページに表示されるユーザー入力内容にスクリプトを埋め込むこと
%%replace6%%
正解
3 Webページに表示されるユーザー入力内容にスクリプトを埋め込むこと
解説
クロスサイトスクリプティング(XSS)攻撃の一例として、攻撃者がユーザー入力内容にスクリプトを埋め込み、それを表示する際にブラウザで実行させる手法が挙げられます。
この攻撃が成功することでユーザーの情報が盗まれるリスクがあります。
クロスサイトリクエストフォージェリとは?
クロスサイトリクエストフォージェリ(CSRF)は、ユーザーが意図しないアクションを攻撃者がユーザーの代わりに実行させる攻撃手法です。
通常、ユーザーが認証済みの状態で攻撃者の仕組んだリンクやフォームを開いた際に、ユーザーの権限で不正な操作が行われます。
クロスサイトリクエストフォージェリに関する学習用問題にトライ!
問題
クロスサイトリクエストフォージェリ(CSRF)の特徴として最も適切なものはどれですか?
- ユーザーに意図しない操作を行わせる攻撃
- ユーザーのクッキー情報を盗む攻撃
- サーバーに対してDDoS攻撃を仕掛ける攻撃
%%replace6%%
正解
1 ユーザーに意図しない操作を行わせる攻撃
解説
クロスサイトリクエストフォージェリ(CSRF)は、ユーザーが意図しない操作を攻撃者が実行させる攻撃手法です。
攻撃者はユーザーの認証情報を利用して、ユーザーが認識しないまま不正な操作を行わせます。
問題
クロスサイトリクエストフォージェリ(CSRF)に対する効果的な対策はどれですか?
- パスワードを強化する
- ユーザーのIPアドレスを固定する
- リクエストごとにCSRFトークンを使用する
%%replace6%%
正解
3 リクエストごとにCSRFトークンを使用する
解説
クロスサイトリクエストフォージェリ(CSRF)攻撃を防ぐためには、リクエストごとにCSRFトークンを利用することが効果的です。
攻撃者が不正なリクエストを送信しても、それが正当なリクエストであるかどうかを判定できるようになります。
問題
クロスサイトリクエストフォージェリ(CSRF)の攻撃方法として適切なものはどれですか?
- 悪意のあるスクリプトをユーザーのブラウザで実行する
- ユーザーの認証情報を利用して不正な操作を行わせる
- ウェブサーバーに対してSQLインジェクションを仕掛ける
%%replace6%%
正解
2 ユーザーの認証情報を利用して不正な操作を行わせる
解説
クロスサイトリクエストフォージェリ(CSRF)ではユーザーの認証情報を悪用して、ユーザーが意図しない操作を実行させることが主な攻撃手法です。
この攻撃ではユーザーが正当な操作を行ったように見せかけるため、検知が難しい場合があります。
クリックジャッキングとは?
クリックジャッキングはユーザーが意図しないボタンやリンクをクリックさせるために、攻撃者がWebページの見た目を操作する攻撃です。
例えば、透明なボタンを重ねることでユーザーが別の場所をクリックしたと思い込ませる手法が用いられます。アカウントの乗っ取りや個人情報の漏洩が引き起こされることがあります。
クリックジャッキングに関する学習用問題にトライ!
問題
クリックジャッキングの主な目的はどれですか?
- ウェブページのデザインを改善すること
- ユーザーに意図しないボタンをクリックさせること
- サーバーのパフォーマンスを向上させること
%%replace6%%
正解
2 ユーザーに意図しないボタンをクリックさせること
解説
クリックジャッキングは、ユーザーが本来意図しない場所をクリックさせるために、攻撃者がWebページを操作する攻撃です。ユーザーは知らないうちに不正な操作を行ってしまう可能性があります。
問題
クリックジャッキングを防ぐための有効な対策はどれですか?
- Webページにフレームの使用を禁止するヘッダーを追加する
- パスワードを複雑にする
- クッキーの保存期間を短くする
%%replace6%%
正解
1 Webページにフレームの使用を禁止するヘッダーを追加する
解説
クリックジャッキングを防ぐためにはWebページにX-Frame-Optionsヘッダーを設定し、他のサイトがページをフレーム内に表示できないようにすることが効果的です。攻撃者がフレームを使ってユーザーを騙すことが難しくなります。
問題
クリックジャッキング攻撃の一例として最も適切なものはどれですか?
- ウェブページのロードを遅くする
- ユーザーのクリック位置を意図的にずらす
- ユーザーのブラウザ履歴を追跡する
%%replace6%%
正解
2 ユーザーのクリック位置を意図的にずらす
解説
クリックジャッキングではユーザーがクリックする位置に透明なボタンを重ねるなどして、意図しない操作を行わせる手法が取られます。この攻撃はユーザーが本来意図しない動作を行うことを目的としています。
ドライブバイダウンロードとは?
ドライブバイダウンロードはユーザーがWebページを閲覧するだけで、知らぬ間にマルウェアが自動的にダウンロードされる攻撃です。
ユーザーがリンクをクリックしたりファイルをダウンロードする必要はなく、ページを開くだけで感染が広がるため、特に悪意のある広告や不正なサイトでよく利用されます。
ドライブバイダウンロードに関する学習用問題にトライ!
問題
ドライブバイダウンロードの主な特徴はどれですか?
- ユーザーがリンクをクリックしなければ感染しない
- 電子メールの添付ファイルを利用して感染が拡大する
- Webページを閲覧するだけでマルウェアがダウンロードされる
%%replace6%%
正解
3 Webページを閲覧するだけでマルウェアがダウンロードされる
解説
ドライブバイダウンロード攻撃はユーザーがWebページを閲覧するだけで、マルウェアが自動的にダウンロードされる仕組みです。
ユーザーがリンクをクリックしたり、ファイルを手動でダウンロードする必要がないため、気づかないうちに感染するリスクがあります。
問題
ドライブバイダウンロード攻撃を防ぐために有効な対策はどれですか?
- Webブラウザとプラグインを最新の状態に保つ
- パスワードを定期的に変更する
- クッキーの保存期間を短くする
%%replace6%%
正解
1 Webブラウザとプラグインを最新の状態に保つ
解説
ドライブバイダウンロード攻撃を防ぐためにはWebブラウザやプラグインを常に最新の状態に保つことが重要です。既知の脆弱性を悪用されるリスクを減らし、攻撃を未然に防ぐことができます。
問題
ドライブバイダウンロード攻撃が発生しやすい状況として最も適切なものはどれですか?
- 信頼性の低いWebサイトを閲覧したとき
- 電子メールの添付ファイルを開いたとき
- フィッシングサイトに個人情報を入力したとき
%%replace6%%
正解
1 信頼性の低いWebサイトを閲覧したとき
解説
ドライブバイダウンロード攻撃は信頼性の低いWebサイトや不正な広告を表示するサイトで発生しやすくなります。このため、セキュリティ対策が十分に施されていないサイトを訪れる際は注意が必要です。
SQLインジェクションとは?
SQLインジェクションはWebアプリケーションの脆弱性を利用して攻撃者が不正なSQLクエリをデータベースに実行させ、データベース内の情報を不正に取得したり、データを改ざんする攻撃です。
適切な入力検証が行われていない場合に発生しやすい攻撃手法です。
SQLインジェクションに関する学習用問題にトライ!
問題
SQLインジェクションの主な目的は何ですか?
- データベースに対して不正な操作を行うこと
- サーバーのパフォーマンスを向上させること
- Webページのデザインを変更すること
%%replace6%%
正解
1 データベースに対して不正な操作を行うこと
解説
SQLインジェクションは攻撃者がデータベースに対して不正なSQLクエリを実行し、データを盗み出したり改ざんしたりする攻撃手法です。機密情報が漏洩するリスクが高まります。
問題
SQLインジェクションを防ぐために有効な対策はどれですか?
- Webページにフレームの使用を禁止する
- ユーザー入力を適切にエスケープ処理する
- パスワードを複雑にする
%%replace6%%
正解
2 ユーザー入力を適切にエスケープ処理する
解説
SQLインジェクションを防ぐためには、ユーザーからの入力を適切にエスケープ処理することが重要です。また、パラメータ化されたクエリを使用することも効果的な対策です。
問題
SQLインジェクション攻撃が成功する要因として最も適切なものはどれですか?
- データベースが暗号化されていない場合
- 入力データが適切に検証されていない場合
- サーバーが高性能である場合
%%replace6%%
正解
2 入力データが適切に検証されていない場合
解説
SQLインジェクション攻撃が成功する主な要因は、ユーザー入力が適切に検証されていないことです。
入力データがそのままSQLクエリに組み込まれると、不正なクエリが実行されるリスクが生じます。適切な入力検証とエスケープ処理が不可欠です。