平成31年度 春期 ITパスポート試験 問59 解説 パスワード攻撃対策

この問題は、それぞれの攻撃手法の性質と、それに対して有効な防御策を結びつけることで正解を導けます。

パスワードの盗聴は、通信経路上のデータを第三者が読み取る行為であるため、通信自体を暗号化することが最も根本的かつ有効な対策です。一方、総当たり攻撃は、大量のログイン試行を繰り返すことでパスワードを突破しようとする手法であるため、試行回数に上限を設け、一定回数失敗したら一時的にログインをロックすることが有効です。これに該当する組み合わせは選択肢イとなります。

攻撃手法と対策の考え方

パスワードの盗聴への対策 Webサイトにおいて、IDやパスワードをやり取りする際、通信内容が平文（暗号化されていない状態）であれば、悪意ある第三者がパケットを盗み見ることで情報を簡単に取得できてしまいます。これを防ぐためには、SSL/TLSなどを用いてWebサイトとの通信全体を暗号化（HTTPS化）することが必須となります。これにより、万が一通信データが傍受されても、中身を判読することは困難になります。

総当たり攻撃への対策 ブルートフォース攻撃とも呼ばれるこの攻撃は、コンピュータの計算能力を悪用して、考えられるすべてのパスワードの組み合わせを順番に試す手法です。これに対し、パスワードを複雑にするだけでは、時間がかかってもいつかは突破されるリスクが残ります。そのため、一定回数ログインに失敗した際にアカウントをロックする、あるいはログイン試行間に時間を空けさせる（レートリミット）といった制限を設けることで、攻撃の効率を著しく低下させることが有効な防御策となります。

なお、選択肢に出てくる「シングルサインオン」は、一度の認証で複数のサービスを利用可能にする利便性向上のための仕組みであり、総当たり攻撃を防ぐための直接的なセキュリティ対策ではありません。「推測が難しい文字列を設定する」ことは、総当たり攻撃よりも、辞書攻撃やパスワードリスト攻撃に対する対策として重要ですが、本問の対比においては「入力試行回数の制限」の方が総当たり攻撃に対するより具体的な抑止力となります。

• ブルートフォース攻撃（総当たり攻撃）とは？仕組みと対策（サイバーセキュリティ情報局）