AP過去問 令和5年度秋期 午前 問36
AP過去問 令和5年度秋期 午前 問35前の問題へ
AP過去問 令和5年度秋期 午前 問37次の問題へ
問36(問題文)
パスワードクラック手法の一種である、レインボーテーブル攻撃に該当するものはどれか。
ア 何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき、複数のシステム間で使い回されている利用者IDとパスワードの組みを狙って、ログインを試行する。
イ パスワードに成り得る文字列の全てを用いて、総当たりでログインを試行する。
ウ 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき、それを用いて、不正に入手したハッシュ値からパスワードを解読する。
エ 利用者の誕生日、電話番号などの個人情報を言葉巧みに聞き出して、パスワードを類推する。
回答・解説
レインボーテーブル攻撃とは、ハッシュ化されたパスワードに対して、事前に計算しておいたハッシュ値と平文の対応表を利用し、元のパスワードを高速に割り出す攻撃手法です。これにより、パスワードを総当たりでハッシュ計算する時間を大幅に削減することができます。
アは❌間違いです。何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき、複数のシステム間で使い回されている利用者IDとパスワードの組みを狙って、ログインを試行する。 この攻撃は、パスワードリスト攻撃(パスワードリスト型攻撃)に該当します。他のサービスで流出したIDとパスワードの組み合わせを使って、不正ログインを試みる手法です。レインボーテーブル攻撃とは異なります。
イは❌間違いです。パスワードに成り得る文字列の全てを用いて、総当たりでログインを試行する。 これはブルートフォース攻撃(総当たり攻撃)に該当します。可能性のあるすべての文字列を試すことで、正しいパスワードを見つけようとします。レインボーテーブル攻撃とは別の手法です。
ウは✅正しいです。平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき、それを用いて、不正に入手したハッシュ値からパスワードを解読する。 この記述は、レインボーテーブル攻撃の特徴を正確に表しています。レインボーテーブルは、ハッシュと対応する平文を圧縮的に保持したテーブルであり、これによりハッシュ値から元の平文パスワードを割り出すことが可能です。したがって、これが正解です。
エは❌間違いです。利用者の誕生日、電話番号などの個人情報を言葉巧みに聞き出して、パスワードを類推する。 これはソーシャルエンジニアリングの一種です。人間の心理や行動の隙を突いて情報を入手する方法であり、レインボーテーブルとは無関係です。
したがって
ウ
が答えです。
AP過去問 令和5年度秋期 午前 問35前の問題へ
AP過去問 令和5年度秋期 午前 問37次の問題へ