【たった４問で完璧】パスワードクラックは４つだけ覚えれば、さくっと解ける！

googleや楽天など利用するIDとパスワード。特定されてしまうと、なりすましでログインされちゃいます。

このNoteではパスワードクラックの過去問をまとめました。

最近の攻撃系の問題は、ITパスポートレベルでさえ、多用な攻撃用語がごちゃまぜになって出題されます。攻撃ジャンルごとに整理して学習しないと、いつまでも問題に振り回されてしまいます。

まずはまとまった攻撃を学習しましょう。

• ＞＞Webアプリを悪用した攻撃の対策Note＜＜

• ＞＞パスワードクラック攻撃の対策Note＜＜　←このNote

• ＞＞DoS攻撃の対策Note＜＜

その後にいよいよ、＞＞ITパスポートの攻撃問題対策Note＜＜ で問題演習をしてくださいね。

なお、このNoteは私が専門学校で教えてきた指導経験と970点合格をした実績に基づいていますので、ちょっとでも信用してくれたら嬉しいです。

＼全てのNoteへのリンク集／

パスワードクラック４つと問題演習

パスワードクラックは4種類、名前と手口をキーワードで覚えましょう。

• ブルートフォース攻撃：パスワードにあらゆる文字の組み合わせを入力して試す

• リバースブルートフォース攻撃：IDにあらゆる文字の組み合わせを入力して試す

• パスワードリスト攻撃：別サイトで入手したIDとパスワードを流用して試す

• 辞書攻撃：パスワードでよく使われそうな言葉を組み合わせて試す（sytem2023など）

パスワードリスト攻撃の手口はどれか。
ア：攻撃対象の利用者IDを一つに定め、辞書にある単語やその組み合わせをパスワードとして、ログイン試行する
イ：パスワードの文字数上限が小さいWebサイトに対して、攻撃対象の利用者IDを一つに定め、あらゆる文字を組み合わせたパスワードを総当たりして、ログイン試行する
ウ：複数サイトで同じ利用者IDとパスワードを使っている利用者がいる状況に着目して、他サイトから不正取得したIDとパスワードの一覧表を流用して、ログイン試行する
エ：よく用いられそうなパスワードに固定し、利用者IDにあらゆる文字を組み合わせて総当たりにログイン試行する

「基本情報技術者試験平成31年度春問37」より改変

正答はウ。

• ア：辞書攻撃

• イ：ブルートフォース攻撃

• エ：リバースブルートフォース攻撃

次は消去法で解きましょう。

ジョーアカウント攻撃はどれか。
ア：攻撃者が何らかの方法で事前入手した利用者IDとパスワードの組みのリストを使って、ログイン試行する
イ：パスワードを一つ選び、利用者IDとして次々に文字列を用意して総当たりにログイン試行する
ウ：パスワードを利用者IDと同じに設定する実情に着目して、IDとパスワードを同じにして次々にログイン試行する。
エ：利用者IDを一つ選び、パスワードとして次々と文字列を用意して総当たりにログイン試行する

「情報セキュリティマネジメント令和元年度秋問19」より改変

正答はウ。ジョーアカウント攻撃。現状ITパスポートには出てません。とはいえ、リアルでIDとパスワードは別々にしましょうね。

• ア：パスワードリスト攻撃

• イ：リバースブルートフォース攻撃

• エ：ブルートフォース攻撃

想定され得るパスワードとそのハッシュ値とのリストを用いて、入手したハッシュ値からパスワードを効率的に解析する。
ア：パスワードリスト攻撃 
イ：ブルートフォース攻撃 
ウ：リバースブルートフォース攻撃 
エ：レインボー攻撃

「基本情報技術者試験平成28年秋問44」「基本情報技術者試験令和2年度問39（FEドットコム）」より改変

正答はエ。

ハッシュ値とは、データをハッシュ関数に通した出力値。ハッシュ関数は、デジタル署名やブロックチェーンに使われます。

パスワードはネットワークでもサーバでもハッシュ値になって通信・保管されます。なぜなら、パスワードがそのままネットワーク通信すると盗聴されると詰み、サーバにそのまま保存されると関係者が悪用できますからね。

ハッシュ関数は以下3つの特徴を持った特殊な関数です。

• 一方通行：出力値から入力値を逆算推定するのがほぼ不可能

• 全然違う：入力値がちょっとでも違うと、全然違う出力値がでる

• 固定長出力：どんな長さの入力値を入れても、出力値の長さは同じ

詳しくは、＞＞デジタル署名対策Note＜＜ をどうぞ。

サーバのログイン時に用いるパスワードを不正に取得しようとする攻撃のうち、辞書攻撃とブルートフォース攻撃について、その対策の組み合わせで正しいのはどれか。
a：推測されにくいパスワードを設定する
b：ログインの試行回数に制限を設ける
c：パスワードを暗号化して送信する
d：利用者IDとパスワードを、他サイトのものと違うものに設定する
ア：a, b
イ：a, c
ウ：a, d
エ：b, c

「基本情報技術者試験令和3年度免除問43（FEドットコム）」より改変

正答はア。

• a：「2023年だから2023って入ってる？」と推測されないように

• b：制限回数を超えると一時的にIDを使えなくする。ロックアウトと云う

• c：通信経路上での盗聴防止

• d：パスワードリスト攻撃への対策

まとめ | パスワードクラックは4つでOK

解いてきたように、4つ覚えれば

• ブルートフォース攻撃：パスワードにあらゆる文字の組み合わせ

• リバースブルートフォース攻撃：IDにあらゆる文字の組み合わせ

• パスワードリスト攻撃：別サイトで入手したIDとパスワードを流用

• 辞書攻撃：パスワードでよく使われそうな言葉

とはいえ、引用した問題が2つ以上だったので、バラバラになって出題されます。逆に言えば、そんな小細工をしないと簡単な問題になってしまうんです。

攻撃用語はたくさんあるので、学習コスパは良くないです。とはいえ、セキュリティは、基本情報技術者でも応用情報技術者でも、他のベンダー資格でも遭遇し続けます。

ITパスポートのうちから、整理しながら知っていきましょうね。

• ＞＞Webアプリを悪用した攻撃の対策Note＜＜

• ＞＞パスワードクラック攻撃の対策Note＜＜

• ＞＞DoS攻撃の対策Note＜＜　←次のNote

その後にいよいよ、＞＞ITパスポートの攻撃問題対策Note＜＜ で問題演習をしてくださいね。

＼全てのNoteへのリンク集／

p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。

でわでわ（・ω・▼）ノシ