[問題文・解答]
平成27年度4月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27春 午後1 問題文] [H27春 午後1 解答]
[問題概要]
題材は、パスワードへの攻撃です。ショッピングサイトが大量のログイン試行により一部ユーザのIDとパスワードが破られるという攻撃を受けます。当該サイトでは以下のアカウント管理の問題点があり、改善案と改善案実装までの暫定処置について検討するという内容です。
・パスワードが数字6桁(固定長)と強度が不十分
・パスワードがハッシュ化しただけで保存している
難易度はやや低めの問題だと思います。
[設問1]
レインボーテーブル
想定される全ての文字列に対するハッシュ値を求めたリストで、ハッシュ値から元のパスワードを逆引き出来る表。ハッシュ化されたパスワードファイルが流出した場合に、レインボーテーブルと突合して、パスワードを短時間で推測される恐れがあります。
対策として、ソルトと呼ばれる文字列をユーザごとに用意し、ハッシュ計算時にパスワードの前後にソルトを付加することで同じパスワードでもハッシュ値を変える方法があります。サーバ側でも各ユーザ用のパスワード(ソルト)を用意して、ユーザのパスワードと組合せるようなイメージです。
上記説明の通り、ソルトはレインボーテーブルを用いてパスワードを推測する攻撃を防ぐために用いられます。
[答] 多くの文字列のハッシュ値を計算したものと、漏洩したファイル中のハッシュ値を突合し、パスワードを推測する攻撃
[設問2]
(1)
SHA-256
任意の長さ(最長2^64ビット)の文字列から"256ビット"のハッシュ値を計算するアルゴリズム。ハッシュ関数の国際標準の一つ。
SHA-256関数のハッシュ値は、256ビット/8 = 32バイト です。
[答] 32
(2)
図3 方法(イ)より、「当該IPアドレスからの接続をファイアウォールのルール設定で遮断する」とあるため、同じIPアドレスから大量のログイン試行があった場合の検出方法と考えられます。よって、方法(ア)の書き方に従って、「単位時間当たりの同一IPアドレスからのログイン試行数」となります。
[答] 単位時間当たりの同一IPアドレスからのログイン試行数
(3)
[設問2](2)の解答より、方法(イ)では同一IPからの攻撃は検知出来ますが、異なるIPアドレスから大量にログイン試行があった場合は検知出来ません。
[答] 多数のIPアドレス
[設問3]
これは簡単な数学の問題です。
d) 数字(0-9)を6桁並べる場合の組合せ総数は、10^6(10の6乗)通りです。
e) 試行の都度、パスワードと利用者IDを変えながら試行し、1日5000回試行するので
全組合せを試行するには、10^6 / 5000 = 200(日) です。
f) 80種の文字を8桁並べる場合の組合せ総数は、80^8通りです。
[答] d) 10^6 e) 200 f) 80^8
[設問4]
複数のサイトでパスワードを流用することは多いため、この問題も他のサイトから流出したID・パスワード情報がZサイトでも流用されて攻撃に利用されるのを危惧しての注意喚起だということは自然と考えつくと思います。
後はどこまで踏み込んだ解答を書くかです。情報セキュリティのプロフェッショナルの方なら具体的な事例をいくつも挙げられそうですが、IPAの試験では特に指定が無い限りは具体例などは書かず、無難な解答に納めておくのが得策な場合が多いです。
[答] 他のサイトから流出した利用者IDとパスワードの組合せによるパスワード攻撃
後はどこまで踏み込んだ解答を書くかです。情報セキュリティのプロフェッショナルの方なら具体的な事例をいくつも挙げられそうですが、IPAの試験では特に指定が無い限りは具体例などは書かず、無難な解答に納めておくのが得策な場合が多いです。
[答] 他のサイトから流出した利用者IDとパスワードの組合せによるパスワード攻撃
平成27年度春のSC午後1試験の他の問題の解説は下記投稿で行っています。
また、オススメ問題について下記投稿に記載しています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿