平成29年度 春期 ITパスポート試験 公開問題 問81 解説 アカウントロックアウト

この問題は、パスワードを当てるために何度も試行を繰り返す攻撃手法と、それに対する防御策の組み合わせを問うものです。短時間に何度も失敗を繰り返すという攻撃の性質に着目すると、アカウントロックという対策が最も効果を発揮する対象を特定できます。

ブルートフォース攻撃（総当たり攻撃）は、IDとパスワードの組み合わせを端から順番に試して不正ログインを試みる手法です。この攻撃は機械的に自動化されていることが多く、短時間のうちに膨大な回数の認証要求をサーバへ送りつけます。そのため、一定回数失敗したらそのIDをロックするという対策は、攻撃者が正解にたどり着く前に試行を強制的に遮断できるため、極めて有効です。

その他の選択肢がこの対策で防ぎにくい理由もあわせて整理しておきましょう。

ゼロデイ攻撃は、ソフトウェアの脆弱性が修正される前に攻撃が行われる手法です。これはログイン認証の手順を繰り返す攻撃ではないため、アカウントロックでは防げません。

パスワードリスト攻撃は、他のWebサービスなどから漏えいしたIDとパスワードのリストを悪用して、別のサービスへのログインを試みる手法です。一見するとブルートフォース攻撃と似ていますが、リストにある正しい組み合わせを一つずつ入力するため、短時間に何百回も失敗するようなケースは少なく、アカウントロックをすり抜けられる可能性があります。

バッファオーバフロー攻撃は、プログラムのメモリ領域に想定以上のデータを送り込み、異常な動作をさせる手法です。これもログイン情報の推測とは無関係の攻撃であるため、アカウントロックによる対策の対象外となります。

ITパスポート試験においてこの分野が重視される理由は、Webサービスを利用する際のリスク管理と、それを支える技術的対策を理解するためです。パスワードを推測される攻撃は、個人情報の漏えいやアカウントの乗っ取りに直結します。システムを設計・運用する側としては、攻撃の手法に応じた適切な対策を選ぶことが求められ、逆に利用者としては、推測されにくいパスワードを設定することが重要であるという教訓につながります。

IPA 情報セキュリティ安心相談窓口 - パスワードを管理する 総務省 国民のための情報セキュリティサイト - パスワードの管理 情報処理推進機構 - パスワードの不正利用を防止するために