平成28年度 秋期 ITパスポート試験 公開問題 問83 解説 パスワード攻撃の防衛

ID に対して所定の回数を超えてパスワード入力を誤ると、そのIDの使用を一時的に停止する措置が有効なのは、パスワードを機械的に総当たりで試行する攻撃に対してです。この攻撃は総当たり攻撃（ブルートフォース攻撃）と呼ばれます。

総当たり攻撃（ブルートフォース攻撃）とは

総当たり攻撃は、攻撃者がパスワードを推測するために、考えられるすべての組み合わせを試行する手法です。例えば、8桁の英数字のパスワードであれば、理論上すべての組み合わせを試すことで、いつかは正しいパスワードを見つけることができます。この攻撃は、コンピュータの処理能力を利用して短時間で大量の試行を行うため、非常に危険です。

なぜパスワード入力回数制限が有効なのか

総当たり攻撃は、正しいパスワードにたどり着くまで何度もログインを試みます。そのため、所定の回数以上ログインに失敗した場合にアカウントをロックする（使用を停止する）という対策は、攻撃者の試行回数を物理的に制限し、攻撃の成功確率を著しく低下させます。攻撃者は、アカウントがロックされてしまうと、それ以上の試行ができなくなるため、攻撃を断念せざるを得なくなります。

その他の選択肢について

• ア DoS 攻撃 (Denial of Service attack): サービス妨害攻撃とも呼ばれ、サーバーやネットワークに大量のデータを送りつけたり、脆弱性を突いたりして、正規のユーザーがサービスを利用できないようにする攻撃です。パスワードの入力回数制限は、この攻撃に対する直接的な対策にはなりません。
• イ SQL インジェクション (SQL Injection): Webアプリケーションの入力フォームなどから、不正なSQL文を送り込み、データベースを不正に操作する攻撃です。パスワードの入力回数制限とは直接関係ありません。
• エ フィッシング (Phishing): 偽のWebサイトやメールなどを用いて、IDやパスワードなどの個人情報を詐取する攻撃です。これもパスワードの入力回数制限とは直接関係ありません。

教育的意図と実践的な活用

この問題は、情報システムを守るための基本的なセキュリティ対策の一つである「アカウントロックアウト」の重要性を理解することを目的としています。IDとパスワードは、情報システムへの入り口であり、その認証情報を不正に取得しようとする攻撃は後を絶ちません。総当たり攻撃は、比較的単純な手法ですが、その効果は侮れません。

アカウントロックアウト機能は、多くのWebサービスやシステムで標準的に実装されています。例えば、銀行のオンラインバンキングや、SNS、ビジネスで利用する各種システムなど、機密性の高い情報を取り扱うサービスでは、必ずと言っていいほどこの機能が備わっています。

ただし、アカウントロックアウトは、正規のユーザーがパスワードを忘れてしまい、複数回間違えた場合にもロックされてしまうというデメリットも存在します。そのため、システム管理者側では、ロックアウトまでの回数やロック解除までの時間を適切に設定し、ユーザーへの通知方法なども含めて、運用ルールを定めることが重要です。

また、ユーザー側としては、推測されにくい複雑なパスワードを設定すること、パスワードを使い回さないこと、そして二段階認証などの追加のセキュリティ対策を利用することが、総当たり攻撃を含めた様々な攻撃から自身のアカウントを守るために不可欠です。

参考リンク

• 総当たり攻撃 - Wikipedia
• 【初心者向け】総当たり攻撃（ブルートフォース攻撃）とは？防ぐための対策まとめ
• IPA 情報処理推進機構｜サイバーセキュリティ対策のしおり