今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。

 

勉強に使ったのはこちら

章の終わりにあるCheck問題に私なりの答えで解答していきます。

 

今回は2.4章：パスワードクラックのCheck問題です。

 

【Q1】パスワードクラックはどのような認証システムに対して有効か。

固定式のパスワード（変更するまで何回も使用可能なパスワード）のみによる認証システムに対して有効。

 

【Q2】パスワードクラックの予防・防止のための対策としては何が有効か。

システム側の対応
①二要素認証を用いる。
②固定式のパスワードを使用する場合はアカウントのロック設定を有効にする。
③パスワードファイルやデータベースが盗まれないようにする。
④パスワードからハッシュ値を求める際にソルトを使用する。
⑤ログインの失敗（必要に応じてログイン成功も）をログに記録する。
⑥脆弱なパスワードは設定できないようにする。
利用者の対応
①推測困難なパスワードを設定する。

 

【Q3】パスワードクラックを検知するためにはどのような方法があるか。

ネットワーク監視型IDS、ホスト監視型IDS、IPSを用いて検知する。
ターゲットホストのログから連続してログインに失敗している箇所を探し出し検知する。

 

【Q4】リバースブルートフォース攻撃とは何か。

パスワードを固定して何通りものユーザIDとの組み合わせを試行する攻撃手法。

 

【Q5】パスワードリスト攻撃とは何か。

何らかの手段で不正に入手したユーザIDとパスワードの組み合わせを他のサイトへのログインを試行する攻撃手法。
利用者の多くが複数のサイトで同一のユーザIDとパスワードを使いまわしていることにより、攻撃が成立する。

 

【Q6】パスワードリスト攻撃への対策について述べよ。

システム側の対応
・二要素認証を用いる。
利用者の対応
・全てのサイトでユーザIDとパスワードを異なるものにする。

 

【Q7】Pass-the-Hashと呼ばれる攻撃手法について説明せよ。

Windows環境固有の脆弱性をついた攻撃。
Windowsでは、ユーザが入力したパスワードから生成したハッシュ値が一時的にメモリ（キャッシュ）に格納される仕組みになっている。内部ネットワークに侵入した攻撃者はこのキャッシュに格納されたハッシュ値を取り出して再利用することで、パスワードを破ることなく不正なログオンを成功させることができる。

 

 

私が使っているのは2022年版のテキストですが、2023年版も出ています。