AP過去問 令和6年度秋期 午前 問40
問40(問題文)
パスワードリスト攻撃に該当するものはどれか。
ア 一般的な単語や人名からパスワードのリストを作成し、インターネットバンキングへのログインを試行する。
イ 想定し得るパスワードとそのハッシュ値との対のリストを用いて、入手したハッシュ値からパスワードを効率的に解析する。
ウ どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて、他のWebサイトに対してログインを試行する。
エ ピクチャパスワードの入力を録画してリスト化しておき、それを利用することによってタブレット端末へのログインを試行する。
回答・解説
アは誤りです。一般的な単語や人名を使った攻撃は、辞書攻撃と呼ばれるもので、パスワードリスト攻撃とは異なります。
イは誤りです。パスワードとそのハッシュ値のリストを用いる攻撃は、レインボーテーブル攻撃と呼ばれ、ハッシュ値から元のパスワードを解析する攻撃です。これもパスワードリスト攻撃ではありません。
ウは正しいです。他のWebサイトから流出した利用者IDとパスワードの組み合わせを使い回し、別のサービスにログインを試みる行為がパスワードリスト攻撃です。
エは誤りです。ピクチャパスワードの入力を録画して再利用する行為は、ショルダーハッキングやリプレイ攻撃に近いですが、パスワードリスト攻撃には該当しません。
したがって
ウ
が答えです。