ITパスポート 過去問
令和4年度
問95 (テクノロジ系 問95)

情報セキュリティ対策において、システムの攻撃手法とそれに対する対策を理解することはとても重要です。

いずれも実例のある手法ですので、しっかりと覚えましょう。

1 DoS攻撃

大量にパケットを送りつけてシステムに負荷を与え、サービス提供をできなくする手法です。SYNやACKといった、接続制御に使われるパケットを送りつける手法がよく知られています。

対策として、頻繁にパケットを送信する端末のIPアドレスを接続拒否するという方法があります。

2 SQLインジェクション

データベースシステムに対し、情報を全て表示させたりデータを全て削除するような不正なSQLを実行するというものです。

利用者側からの操作としてあり得ない操作をするようなSQLを無効化するエスケープ処理をしておく必要があります。

3 パスワードリスト攻撃 (正解)

漏洩した個人情報を入手し、SNSやECサイトのアカウントを不正に使用するというものです。

システムの技術的な問題というより、ユーザー側のアカウント管理の負担を利用した攻撃と言えます。

最近はいくつものアカウント情報をリストとして管理し、その情報を暗号化してくれるパスワード管理アプリがあるので、そうしたものを活用しましょう。

4 フィッシング

正規のサイトを偽装した偽のログインサイトや課金画面を用意し、アカウント情報やクレジットカード番号を盗むというものです。

誘導方法として「本人確認を行います」といったSMSを送りつけるというものがあります。その際、文面が日本語として不自然ではないか、URLのI(アイ)と1(イチ)といった似たような文字を使っていないかなど、URLなどを疑いましょう。

3が正解です。

パスワードリスト攻撃とは、何らかの方法で入手した大量のID、パスワードの組み合わせリストを用いて、目的のWEBサイトへ侵入を試みる不正アクセス攻撃の一種です。

1の解説）DoS攻撃はウェブサイト、サーバーなどへ意図的に大量なアクセスやデータ送信を行い負荷を与える攻撃です。

2の解説）SQLインジェクションは、アプリケーションの脆弱性を利用して不正に操作し攻撃を行う手法です。

3の解説）正解です。

4の解説）フィッシングは実在する企業などに成りすまし、ID、パスワード、クレジットカード番号などを盗みとる詐欺行為です。

別のWebサイトなどから不正に盗み出した認証情報を使って、目的のサイトに不正侵入する手口をパスワードリスト攻撃といいます。

１．不正解です。サーバやネットワークを過負荷にする攻撃です。

２．不正解です。データベースに不正なSQLを実行させ情報を

　　搾取する攻撃です。

３．正解です。

４．不正解です。金融機関などの偽のWebサイトに誘導し、情報を

　　搾取する行為です。