ファイナンス、情報通信技術、法律のスキル・アグリゲーション・サイト

【平成27年度春期 SC 午後Ⅰ 問3】~情報セキュリティスペシャリスト試験(SC)の過去の出題より~

情報処理推進機構(IPA)が実施する情報処理技術者試験の「情報セキュリティスペシャリスト試験」(SC)午後Ⅰ試験・午後Ⅱ試験の過去の出題から、情報セキュリティへの考えを深めていきます。

過去の試験問題の全文と解答例、講評が、 https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html にて公開されています。ここから、各問における問題文内の見出し、図や表の標題、設問と公表されている解答例、そして、設問に関係すると思われる問題文中の文章を書き出しています。なお、関係する図については、上記の公開されている試験問題をご覧ください。

試験対策以外にも、情報セキュリティ学習をさらに進めるためのきっかけとなれば、と思います。

問3 パスワードヘの攻撃に関する次の記述を読んで,設問1~4に答えよ。

〔不正アクセスの発生〕

表1 大量のログイン試行のログ(抜粋)

〔不正アクセスの調査結果〕
〔問題点の調査結果と改善案〕

調査開始から4日後,Z サイトのアカウント管理における問題点の調査結果の報告が Y 社からあり,複数の問題点が存在することが分かった。Y 社が報告した Z サイトのアカウント管理の主要な問題点を図1 に示す。

  • 問題点(ア) パスワード強度が不十分である
    • パスワードに使用できる文字種が数字だけであり,かつ,パスワード長が短い。
  • 問題点(イ) パスワード保存方法が不適切
    • パスワードをハッシュ化しただけで保存しているので,パスワ一ドファイルが窃取された際に,パスワードを推測されるおそれがある。

図1 アカウント管理の主饗な問題点

また,Y 社は,これらの問題点についてそれぞれ図2の改善案を提示した。

図2 改善案

〔暫定再開の検討〕

見積りの結果,ハッシュ値の保存に必要な領域が,1アカウント当たり 16 バイトから a バイトに変更されるのに加え,ソルトの保存領城の追加などの改修やディスクの増設が必要となり,再開まで3か月掛かることが分かった。A 主任は,そのことを B 部長に相談したところ,3か月間の Z サイト閉鎖は,経営上の影響が非常に大きいので,何らかの対応を行った上で暫定再開する方法を Y 社と検討するよう指示を受けた。次はその時の,A 主任と Y 社の C 氏との会話である。

  • 方法(ア)

    単位時間当たりのアカウントロックされた会員の数のしきい値を設定し,そのしきい値を超えた場合には,システム運用部に通知する。

  • 方法(イ)

    方法(ア)で検知されない場合に対処するために, b のしきい値を設定し,そのしきい値を超えた場合には,システム運用部に通知する。システム運用部は,当該 IP アドレスからの接続をファイアウォールのルール設定で遮断する。

  • 方法(ウ)

    方法(ア)でも方法(イ)でも検知されない墳合に対処するために,単位時間当たりのログイン失敗数のしきい値を設定し,そのしきい値を超えた場合には,システム運用部に通知する。システム運用部は,Z サイ トを緊急に閉鎖する必要があるかどうかを検討し,必要がある場合,経営陣の承認を経て閑鎖する。

図3 バスワ一ド攻撃を検知し対応する方法

A 主 任 : 分かりました。ところで,三つの方法は,それぞれどのようなパスワー ド攻撃を検知することができるのですか。
C 氏 : 方法(ア)では,パスワード総当たり攻撃や辞書攻撃を検知します。 方法(イ)では,今回の攻撃のように,同一 IP アドレスからのリバースブルートフォース攻撃を検知します。方法(ウ)では, c から行われるパスワード攻撃を検知します。ただし,どの方法も,攻撃を 100 %検知できるというわけではありません。 
A 主 任 : 分かりました。それらの対応であればー週間でできそうです。

A 主任は,暫定再開に向けた作業を行い,ー週間後,Z サイトを暫定再開した。

〔本格再開の検討〕
  • 【前提条件】
    • (A) 会員によるログイン失敗が,1日当たり 7,000 件あるとする。
    • (B) 方法(ウ)の単位時間当たりのログイン失敗数のしきい値(A)の2倍,つまり,1日当たり 14,000 件とする。
    • (C) 攻撃方法の前提条件 
      • (Ⅰ) 何らかの方法で n 人分の利用者 ID(会貴メールアドレス)のリストを取得済み
        なお,n > 5,000 とする。
      • (Ⅱ) 方法(ア)で検知されないよう,利用者 ID ごとに1日 4 回を上限に攻撃
      • (Ⅲ) 方法(イ)で検知されないよう, c から攻撃
      • (Ⅳ) 方法(ウ)で検知されないよう,パスワード攻撃の試行回数の上限は,(A)と合わせても(B)より少ない1日当たり 5,000 件
  • 【攻撃成功時間の計算】
    • (あ) 数宇 6 桁のパスワードの場合,パスワードの全組合せは, d 通りである。上記の前提条件に沿って,試行の都度パスワードと利用者 ID を変えながらパスワードの全組合せを試行する と,少なくとも e 日掛かる。また,一つのパスワ一ドで,取得済みの全ての利用者 ID に対して試行した後,別のパスワードで,取得済みの全ての利用者 ID に対して試行する。これをパスワードを変えながら繰り返すと,どれかーつの利用者 ID のログインに成功するために要する平均日数は,n によって異なるが, e 日の半分よりも大きく, e 日以下である。
    • (い) 文字種が 80 種で 8 桁のパスワードの場合,パスワードの全組合せは, f 通りある。全てのパスワ一ドを試行するためには,3,355 億 4,432 万日掛かる。また,(あ)と同様に試行した場合,どれか一つの利用者 ID のログインに成功するために要する平均日数は,n によって異なり,3,355 億 4,432 万日の半分よりも大きく,3,355 億 4,432 万日以下である。

図4 バスワ一ド攻撃が成功するまでの所要時間の計算

A 主 任 : なるほど,暫定期間を延ばすと,検知を擦り抜けて不正ログインされる可能性が十分に現実的になるということですね。それでは,パスワード強度の変更とパスワード保存方法の変更が完了したことを条件として本格再会の時期を設定します。他に気をつけることはありますか。
C 氏 : 会員には ②他のサイトで使っていないパスワードを設定してもらうよう注意喚起した方がいいですね。
A 主 任 : 分かりました。
設問1 図2 中の 下線① は,ハッシュ値が保存されているファイルが漏えいした場合に,そのファイルに保存されたハッシュ値からパスワードが推測されることを防ぐための方法である。ソルトを用いることによって防ぐことができる攻撃方法を,60 字以内で其体的に述べよ。
設問 解答例・解答の要点
設問1 多くの文字列のハッシュ値を計算したものと,漏えいしたファイル中のハッシュ値を突合し,パスワードを推測する攻撃

«ワンポイント»
パスワードの保存には、ハッシュ関数での暗号化が利用されます。しかし、あらかじめパスワードとハッシュ値の対応表(レインボーテーブル)を用意しておいて、パスワードをつきとめる攻撃(レインボー攻撃)も現れたため、パスワードをハッシュ化するときに、ランダムな値(ソルト、Salt)を付加する対策がとられます。

設問2 〔暫定再開の検討〕 について,(1)~(3) に答えよ。
(1) 本文中の a に入れる適切な数値を答えよ。
設問 解答例・解答の要点
設問2 (1) a 32 

«ワンポイント»
SHA-256 の出力長は、256 ビット(32 バイト)です。

(2) 図3 中の b に入れる適切な字句を,30 字以内で述べよ。
設問 解答例・解答の要点
設問2 (2) b 単位時間当たりの同一 IP アドレスからのログイン試行数
(3) 本文中及び 図4 中の c に入れる適切な字句を,15 字以内で答えよ。
設問 解答例・解答の要点
設問2 (3) c 多数の IP アドレス
設問3 図4 中の d f に入れる適切な数式又は実際の値を答えよ。
設問 解答例・解答の要点
設問3 d 106
e 200
f 808

«ワンポイント»
e は、106 ÷ 5,000(パスワード攻撃の1日当たりの上限)。

設問4 本文中の 下線② は,どのような攻撃による被害を避けるための注意喚起か。攻撃方法を 45 字以内で具体的に述ベよ。
設問 解答例・解答の要点
設問4 他のサイトから流出した利用者 ID とパスワードの組合せによるパスワード攻撃

【平成27年度春期 SC 午後Ⅰ 問3】を公開しました。

Amazon Alexa に対応したスマートスピーカー。DTS Play-Fi 機能を搭載し、対応オーディオ機器への音楽送信を可能とします。

ONKYO スマートスピーカー P3 Amazon Alexa対応/DTS Play-Fi対応 VC-PX30(B)

ファイナンシャル・プランニング
6つの係数

終価係数 : 元本を一定期間一定利率で複利運用したとき、将来いくら になるかを計算するときに利用します。

現価係数 : 将来の一定期間後に目標のお金を得るために、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。

年金終価係数 : 一定期間一定利率で毎年一定金額を複利運用で 積み立て たとき、将来いくら になるかを計算するときに利用します。

年金現価係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。

減債基金係数 : 将来の一定期間後に目標のお金を得るために、一定利率で一定金額を複利運用で 積み立て るとき、毎年いくら ずつ積み立てればよいかを計算するときに利用します。

資本回収係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、毎年いくら ずつ受け取りができるかを計算するときに利用します。

積み立て&取り崩しモデルプラン

積立金額→年金額の計算 : 年金終価係数、終価係数、資本回収係数を利用して、複利運用で積み立てた資金から、将来取り崩すことのできる年金額を計算します。

年金額→積立金額の計算 : 年金現価係数、現価係数、減債基金係数を利用して、複利運用で将来の年金プランに必要な資金の積立金額を計算します。

深層学習―ディープラーニング( Deep Learning )とは何か?徹底解説!

深層学習 Deep Learning

amazon.co.jp Kindle本