問題
テクノロジ系
問95 攻撃対象とは別のWebサイトから盗み出すなどによって,不正に取得した大量の認証情報を流用し,標的とするWebサイトに不正に侵入を試みるものはどれか。
選択肢
- アDoS攻撃
- イSQLインジェクション
- ウパスワードリスト攻撃
- エフィッシング
解説
正解:ウ
概要
他サイトから漏えいしたID・パスワードなどの認証情報を使い回して、標的サイトへの不正ログインを試みる攻撃手口を問う問題です。
正解の理由
盗み出された大量の認証情報を「そのまま流用」してログインを試すのはパスワードリスト攻撃の特徴です。個別に大量通信で落とすDoS攻撃や、入力欄に不正なSQLを入れるSQLインジェクションとは目的と手段が異なります。
各選択肢の解説
ア(×): DoS攻撃は大量の通信を送り付けてサービスを停止や遅延に追い込む攻撃で、盗まれた認証情報を使ってログインする手口ではありません。
イ(×): SQLインジェクションは入力値にSQL文を混入させてデータベースを不正操作する攻撃で、漏えいしたID・パスワードを流用する攻撃ではありません。
ウ(〇): パスワードリスト攻撃は他所で漏えいした多数のID・パスワードを使い回し、標的サイトで不正ログインを試す手口なので正しいです。
エ(×): フィッシングは偽サイトなどで利用者をだまして認証情報を入力させて盗む手口で、盗んだ情報を使って侵入する段階そのものを指しません。
ポイント
「別サイト流出の認証情報を大量に試してログインする」はパスワードリスト攻撃の合図です。