情報処理安全確保支援士掲示板

掲示板検索:

[0740]午後1叩き台

 受験生さん(No.1) 
問2と問3を選択しました
文末に(x)があるやつは自身がないです。


問2
設問1
a : 別のパスワードで再度暗号化
b : 個人の媒体にコピー

設問2
1 ア、イ
2 ii
3 c:60 d:52
4 利用者をよく知る人物による(x)
5 クライアント認証(x)

設問3
IRMクライアントで参照中または編集中の復号されているファイルを外部に送信する



問3
設問1
1 PC-GをLANから切断する
2 スナップショット
3 a: 別のPCで最新のマルウェア定義ファイルを保存したDVD-Rを用いる
   b: マルウェア定義ファイルを更新
   c: マルウェア対策ソフトの画面を手動で操作する
4 11月25日以前のCリスト中のURLへのアクセス(X)

設問2 
1 項番:3  総務部LAN 営業部LAN
   項番:4 技術部LAN
2 d: V社配布サーバ
   e: 全て
設問3
1 登録した実行ファイルをバージョンアップなどで更新した場合
2 便利なソフトに見せかけてVソフトに登録されたマルウェア(x)


2021.10.10 14:15
自信なしさん(No.2) 
問2
1 a パスワード変更 b PC本体に保存

(1)アイ アカウントをグループから削除
(2)ニ
(3)60 308
(4)逆ブルートフォース
(5)公開鍵認証→多分間違えた
3 スクショ取って攻撃者に送信
2021.10.10 16:19
 受験生さん(No.3) 
問2の4と5って辞書攻撃と二要素認証じゃだめですかね?
2021.10.10 16:21
さん(No.4) 
問3のaとcは逆の方が効率がよいと思ってしまいました
2021.10.10 16:43
 受験生さん(No.5) 
NO3 さん
同じ名前だからか、スレ主になってますね。

出題者の「推測」対象の情報にもよりますが、辞書攻撃もいいかなと思います。私は辞書攻撃のワードがその時思いつかなくてあのように書きました。

二要素認証はOTPなり生体認証をやってるもしくは設定可能なシステムが匂わなかったので違うかなと個人的にですが思います。
2021.10.10 16:44
間池留さん(No.6) 
問3設問1ふわふわしすぎて記入することすらできなかった。。。

午後2は満点の自信あったが採点さえしてもらえんかも。
2021.10.10 16:44
受刑さん(No.7) 
この投稿は投稿者により削除されました。(2021.10.10 16:51)
2021.10.10 16:51
no3さん(No.8) 
NO5さん
たしかに二要素認証できそうな素振りがなさそうだなあとは思いながら書いたんですよねー
ありがとうございました
2021.10.10 16:48
さん(No.9) 
やばい
おわったかも
2021.10.10 16:50
 受験生さん(No.10) 
NO4 さん
DVDに通しても手動で適用することになるので効率は同じです。ネットワークから切断したPCに最新のマルウェア定義を適用するために媒体を利用する必要があるということです
2021.10.10 16:51
間池留さん(No.11) 
問3設問1
フルスキャンの1ワードだけで、定義ファイルの取得から反映スキャンまですべてを連想してしまった。

何か別の対策をうってからフルスキャンだと思いこんでしまった。
2021.10.10 16:52
間池留さん(No.12) 
当たり前を当たり前と思わないことが回答のコツかもしれん。。。(T_T)
2021.10.10 17:11
SC4回目さん(No.13) 
問2
設問1
a : Pパスワードの変更
b : 外部に漏えい

設問2
1 ウ  利用者アカウントをグループから削除
2 ii
3 c:60 d:52
4 パスワードリスト攻撃
5 リスクベース認証

設問3
IRMクライアント公開鍵で暗号化したコンテンツ鍵を使って対象ファイルを復号する、的なことを書いた

問3
設問1
1 PC-GをLANから切り離す
2 アクセスログ
3 a: DVD-Rを用いる、的なことを書いた
  b: マルウェア定義ファイルを更新
  c: マルウェア対策ソフトの画面を手動で操作する
4 Cリストに掲載されてないURL

設問2 
1 項番:3  総務部LAN 営業部LAN
  項番:4 技術部LAN
2 d: V社拒否リスト以外のURL
   e: 全て
設問3
1 新規に実行ファイルを登録した場合
2 同一のハッシュ値を生成するマルウェア、的なことを書きました
2021.10.10 18:05
 受験生さん(No.14) 
NO13 さん

問2
設問1(a) パスワードを変更するだけだと、ファイルは元のパスワードより生成された暗号鍵で暗号化されたままなので、そのパスワードで復号できます。再度暗号化するという記述が必要です。

設問1(b) 外部に漏洩させたとしても暗号化されているので、当該メンバ以外は復号できません。

設問2 (1) 利用者アカウントは「利用者アカウントをグループから削除」という操作ができません、この操作ができるのはグループ管理者アカウントと、グループ管理者アカウントと同等の権限をもつIRM管理者アカウントのみです。

設問2 (4) パスワードリスト攻撃は、他サイトから漏洩したIDとパスワードの組のリストを試す攻撃で、一つのIDを標的に推測するものではありません。

設問2 (5) 表3の注1より、IPアドレスを固定できない事業所があるので、IP制限をかけることも、IPベースのリスクベース認証を行うこともできません。また追加の認証の手段を考えないといけません。

設問3
クライアント公開鍵で暗号化したコンテンツ鍵では復号できません。少なくともクライアント秘密鍵を奪取する必要があります。

問3
設問3 (2)
ハッシュ関数には衝突発見困難性があり、同一のハッシュ値をもつファイルを生成するのは容易ではありません。脆弱なハッシュ関数を使っている記述がないことから、衝突発見困難性を持ち合わせている前提で解答しないといけないと思います。追加変更には管理者権限が必要(明記されていないが文脈的に)ことと、登録されていなければそもそも実行できないことからマルウェアが自身を登録するという解答も潰れ、マルウェアにとってはすでにハッシュ値が登録されている必要があります。そう考えると、トロイの木馬のように、利用者を欺いて登録させる手法が一番現実的と思いました。
2021.10.10 18:47
ヒロさん(No.15) 
問1
設問1  
(1)a:利用者ID
(2)特権利用者だと操作ログにもアクセス出来てしまう
(3)b:インターネット  C:サーバーLAN

設問2  6  
(1)6
(2)6月14日  7時20分  6月14日  9時30分

設問3
(1)パスワード認証
(2)パスワード
(3)グローバル固定IPアドレスを取得する

問3
設問1
1 PC-GをLANから切断する
2 スナップショット
→メモリーダンプ
3 a: 別のPCで最新のマルウェア定義ファイルを保存したDVD-Rを用いる
   b: マルウェア定義ファイルを更新
→最新のマルウェア定義ファイルに更新
   c: マルウェア対策ソフトの画面を手動で操作する
4 11月25日以前のCリスト中のURLへのアクセス(X)
→PC-G以外のアドレスからリスト中のURLへのアクセス
設問2 
1 項番:3  総務部LAN 営業部LAN
   項番:4 技術部LAN
2 d: V社配布サーバ
   e: 全て
設問3
1 登録した実行ファイルをバージョンアップなどで更新した場合
→ファイルが変更された場合
2 便利なソフトに見せかけてVソフトに登録されたマルウェア(x)
→ステルス型ウイルスに完成したファイル
2021.10.10 19:04
カブちゃんさん(No.16) 
セキスペの採点ってけっこう調整入るから、あんまりアテにならないんだよね。
予備校の採点もけっこうバラけるし。。
最初受けた時、ほぼ無勉なのに何故か午後2あと1問で落ち、過去問を何度も繰り返した2回目は午後1で足切りになった。
登録セキスペの頭数が少なかった頃の方が採点甘かった気がする
2021.10.10 19:05
ヒロさん(No.17) 
No16さん
同感です。問3のだと問題文にデジタルフォレッジングと言う文言がありますが、完成拡大を押さえるのが優先なので、PC-GをLANから切断するが正解だと思います。

そのあとに問題ですが、LANから切り離したり、電源落としたりしているとメモリーダンプも何処まで有効なのか悩みました。
2021.10.10 19:16
間池留さん(No.18) 
カブちゃんさん

受験生さんのように問題文から矛盾のない美しい回答を目指さなければなりません。

下手に知識を身につけると、自分の知識引き出しからストーリーを組み立てようとして、問題文と矛盾が生じてしまったり。

問題が一つの作品なら、回答も一つの作品です。

ただ、試験時間内に作品を作るのは至難の業でどうしたら、セオリーを構築できるか未だにわかりません。。。
2021.10.10 19:19
 受験生さん(No.19) 
NO15,NO17 さん
メモリダンプするのであれば、LANケーブルを切断する前に行わないといけません。LANケーブルを切断するとNICの情報が変わりますからフォレンジックスとして欠けます。私もここは悩みましたが、今回は感染拡大を防止することが先決なのでまずLANを抜かせてあげます。
メモリダンプが意味ないとなると、スナップショットを取得するのが一番解答として適していると思いました。マルウェア定義ファイルを更新して、除去作業を行っているので、これが初動対応です。その後、詳細な原因究明に用いるためにスナップショットを活用すると考えると合点がいきます。
2021.10.10 19:44
 受験生さん(No.20) 
No.15 さん
問3  設問1(4)について
図3のマルウェアの性質より、感染後はhostsファイルに登録されている機器へログインを試行します。
[不審なログインの発見と対応]より、アクセス元がPC-Gとなっていたので、それ以外のPCが感染している可能性は考えないと勝手に思っていましたが、今考えればQ社総出でマルウェアスキャンしてるのでその前提はないですね。貴殿の回答が正解と思います。

問3 設問3 (2)
ステルス型ウイルスは、ファイルの実行を検知して自身をメモリ上に退避させます。ステルス型ウイルス付き実行ファイルのハッシュ値を登録していた場合、ハッシュ値の検証→実行となりますので、メモリ上に退避する必要はないと思います。
2021.10.10 19:59
初受験さん(No.21) 
■問1
  設問1
    (1)IPアドレスが変更されている場合
    (2)操作ログの改ざん及び削除を防ぐため
    (3)b:保守PC-A  c:インターネット
  設問2
    (1)6
    (2)6/14 7:00〜6/14 9:30
  設問3
    (1)第三者による秘密鍵の不正使用を防ぐため
    (2)パスワード認証
    (3)認証情報(IDとパスワードの両方)
    (4)固定グローバルIPアドレスの取得

■問2
  設問1
    (1)a:新パスワードによる鍵で暗号化
       b:PC内に保存
  設問2
    (1)ア,イ  プロジェクト離任者の利用者アカウントをグループから削除する
    (2)ii
    (3)c:60  d:52
    (4)辞書
    (5)多要素認証
  設問3
     ・設計秘密のファイル参照又は編集時にスクリーンショットを撮り、攻撃者へ送信する。


どうでしょうか?
2021.10.10 19:59
ヒロさん(No.22) 
スナップショットの方が正しいと思いますが、それならLANを切り離す際に電源を落とさないと言う条件を付け加えたいです。しかし、解答の文字制限で電源を落とさないを付け加えると文字数オーバーしませんか?
2021.10.10 20:03
 受験生さん(No.23) 
NO1の私の回答の問2 設問2 (1)の操作の記述が抜けていました。「当該利用者アカウントをグループから削除する」です。「当該」は「プロジェクト離任者」と書いても良いです。

NO21 さん
問2に関してはおおむねあっているかと思います。問2  設問2(5)などについては、私の持論を上で述べていますが確証がないので…
2021.10.10 20:09
 受験生さん(No.24) 
No.22 さん

スナップショットは電源を落としても有効なことがあります。セクタバイセクタでクローンすれば、仮にシャットダウン時などに証拠隠滅を図られても、復元できることがあります。実際に、ウイルスが不活性の状態でクローンをとるためにシャットダウンしてからスナップショットをとることがあります。
2021.10.10 20:12
ヒロさん(No.25) 
No.24さん

そうだったんですね、ありがとうございます。
直近で解いた過去問の解答がメモリーダンプだったので、こういったケースではセオリーで取得するのかと思いました。
2021.10.10 20:27
detecさん(No.26) 
この投稿は投稿者により削除されました。(2021.10.11 22:36)
2021.10.11 22:36
社内SEさん(No.27) 
問1の(1)aの穴埋めは
接続時に何らかのエラーが出るパターンとして
@中継サーバのIPアドレスが違う
AFWでSSH接続が許可されていない
B保守PC上に保存されたフィンガプリント(known_hosts)が消えた
の3パターン考えましたが、迷った結果Bの趣旨で書きました。

問題文には「エラーが出て切断された」「中継サーバのフィンガプリントが変わった」とありますが、そもそも中継サーバのフィンガプリントが変わっていても、警告メッセージは出ますが「切断」はされないように思います。(本当に接続しますか?と聞かれてyesとすれば接続できたはず。放置すればタイムアウトして切断されますが、、、)
@〜Bで「切断」つまり接続すらできないのは@Aですが、上記の「中継サーバのフィンガプリント云々」の記載で混乱し、最終的には勘でBを選んでいますり
2021.10.10 22:32
春樹さん(No.28) 
この投稿は投稿者により削除されました。(2021.10.10 22:45)
2021.10.10 22:45
春樹さん(No.29) 
問1
設問1
1)a:接続PCに変更があった 
2)操作ログの確認はJ社システム管理者が行うため
3)
b:PC-LAN
c:インターネット

設問2
1)6
2)6/14  7:40-9:30

設問3
1)保守PCを盗難されても秘密鍵を不正利用されないため
2)dパスワード認証
  e  証明書
3)f  

問2
設問1
a:アクセス権限のはく奪
b:パスワードを変更

設問2
1)イ、ウ
2)A
3)c:飛ばしたらそのまま時間切れ
  d:〃
4)e:パスワードリスト
   f:公開鍵認証
5)復号されたコンテンツ鍵を取得されてファイル取得

問題選ぶのに時間かけてしまい時間切れで溶けないものが多かったです。
2021.10.10 22:46
 受験生さん(No.30) 
NO28 さんの回答を見て思いましたが、問2 設問2 (5)は公開鍵認証のほうが良いですね。IRMサーバもクライアントもファイルの暗号鍵を暗号化および復号するための鍵ペア取り扱ってますので、そのシステムが認証でも使えるかを考えるのが良いと思います。

クライアント認証はディジタル証明書を用いるので、署名は公開鍵の技術を使用していようとも、少し話が違ってきますね。
2021.10.10 22:49
ななしさん(No.31) 
NO27さん
J社に確認するって文言を見て安直に保守用中継サーバに障害が発生したと書いたんですけどどうですかね?
2021.10.10 23:10
ないフォートさん(No.32) 
他の人と意見が違う問題だけ。。

■問1
設問1
1 a 保守用中継サーバとは別のサーバに接続した

設問3
1 秘密鍵が流出してもすぐにログインさせないようにするため
3 e 秘密鍵
4 f 社内ネットワーク接続時に適切な認証をする (ここ自信ない)

■問3
設問1
4 PC-G以外からのCリスト中のURLへのアクセス

設問2
2 d V社配布サイト,各ベンダのサイト

設問3
1 業務で使うソフトウェアが脆弱性修正などで更新された場合
2 マクロなど、既存の実行ファイルに読込まれることで感染するマルウェア

問1設問1aに関して [主に 社内SEさん(No.27) へ]
適当なSSHサーバにホスト名を使って接続してから、hostsファイルを書き換えて同じホスト名で別のサーバ (もちろんフィンガプリントも違う) に繋がるようにして再度接続したら、
WARNING: POSSIBLE DNS SPOOFING DETECTED!
WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
という2つのエラーが出て、yes/noを聞かれる前に切断されます。 (今試しました)
このエラー文でネット検索すると詳しい挙動がわかります。

J社に確認するというのは、J社側でフィンガプリントを変更したのか、こちらの接続先がおかしいのかを判別するためだと思います。
2021.10.10 23:27
初受験さん(No.33) 
問1 設問1 (2)のように「目的を答えなさい」という問題なのに、回答が「目的」ではなく「理由」になっている方が多いように感じたのですが、
そういう場合は途中点つくんですかね?論点が違うので?にされるのでしょうか?
2021.10.11 00:03
さん(No.34) 
経験値ですが、予備校等の解答速報の配点とIPAの採点はけっこうズレます。途中点も付いたり付かなかったり、思ったより高かったり低かったり、何でこれが答えになるの?という解答があったり…。
なので私は実際の合格発表まで自己採点はアテにしないことにしました。
2021.10.11 00:13
社内SEさん(No.35) 
No.32 ないフォートさん
>yes/noを聞かれる前に切断されます。
実機確認ありがとうございます。
私の記憶違いのようですね。。。
2021.10.11 00:13
よーぐるとさん(No.36) 
問1  全く自信ないですが、

設問1
(1)a:グローバルIPアドレスが変更になった
(2) 操作ログのアクセス権限を持たせないため
(3)
b:保守PC-A
c:インターネット  ←間違えた

設問2
(1)6  ←間違えた
(2)6/14  7:40~9:10

設問3
(1) 安易なパスワードを設定しても認証を突破させないため  ←自信なし
(2)
   d パスワード認証
   e 公開鍵認証
(3)
  f  クライアント認証する

※ 最後の f はSHHクライアント認証でもいいかな?と思います。。どちらにしろかなり基本的なNW系を間違えてヘコんでます。時間が足りなかった・・・
2021.10.11 11:30
たまごさん(No.37) 
合ってそうなのは11/22問かなあ

合っているのは単語系ばかりなので、記述のおまけ貰えなければこれは厳しそう…
2021.10.11 13:42
no titleさん(No.38) 
午後T
■設問1
(1)保守通信の経路上の機器、回線の障害発生
(2)操作ログはJ社システム管理者のみ管理させる為
(3)b:PC-LAN、c:全て

設問2
(1)6
(2)6月14日7時00分〜9時30分

設問3
(1)秘密鍵が盗まれてもパスを知らない第三者に悪用されない為
(2)パスワード認証
(3)公開鍵
(4)送信元をM社のIPアドレスのみ許可する

■問3
設問1
(1)ケーブルを外しネットワークから孤立させる
(2)今だけ取得出来る情報
(3)
a:現状のPCのイメージファイルを保存
b:マルウェアが消えないようにする
c:忘れた
(4)他にもCリスト内のURLにアクセスしたログがないか

設問2
(1)
3:総務部LAN、営業部LAN
4:技術部LAN
(2)
d:V社配布サイト
e:全て

設問3
(1)ファイルが更新されハッシュ値が変更となる場合
(2)登録した実行ファイルと同じハッシュ値を持つマルウェアの場合
2021.10.11 15:14
グレドラさん(No.39) 
解凍のメモ取ってくるの忘れたので記憶ですが…。
問1と問3を解きました。問2はプロジェクトマネージャとか書いてあっては?と思ったので。

問1
設問1.
(1)保守用中継サーバかネットワークに障害が発生した。
(2)保守院による操作ログの閲覧と設定変更を制限するため。
(3)
b: PC-LAN
c: インターネット

設問2.
(1)6
(2)6月14日7時から同日の9字30分まで

設問3.
(1)保守院が秘密鍵を流出させた場合に第3社の利用を防止するため。
(2)パスワード認証
(3)秘密鍵
(4)アクセス元IPアドレスを固定する

問3
設問1.
(1)PC-Gをネットワークから切り離す。
(2)PC-Gのフルバックアップ
(3)
a: 他のPCでダウンロードしたファイルを保存したDVD-Rを利用する
b: マルウェア定義ファイルの更新
c: マルウェア対策ソフトの画面を操作する

(4)PC-G以外によるCリスト中のアドレスへの通信ログ。

設問2.
(1)
3: 総務部LAN 営業部LAN
4: 技術部LAN
(2)
d: V社配布サイト
e: すべて

設問3.
(1)登録済みの実行ファイルのソフトウェアのアップデートを行った場合。
(2)ファイルレスマルウェアのようなシェルのメモリ上で実行されるもの。

どうだろう…。記憶を頼りに書いてるからか実際の答案よりうまく書けてる気がする。
別に追加調査をしたわけではないので内容は同じです。ただ文章的な話で。
2021.10.11 17:41
ひっささん(No.40) 
固定グローバルIPアドレスの取得

これなんですが、取得しなくてもトンネルは形成可能ではないかとおもいます。
例えば、ダイナミックDNSや、IPVPNアグレッシブならグローバル固定IPアドレス取得は不要です。

ですので、中継サーバにVPNクライアントをインストールする、が回答かと思ったのですがいかがでしょう。
2021.10.14 00:47
グレドラさん(No.41) 
グローバルIPを固定するとファイヤーウォールの通信元をインターネットから特定のIPアドレスに制限できると思ったのですが。インターネットから保守用中継サーバのネットワークへだれでもアクセスできてしまうのは問題です。
2021.10.14 07:35
カレーライスさん(No.42) 
この投稿は投稿者により削除されました。(2021.10.15 05:25)
2021.10.15 05:25
カレーライスさん(No.43) 
問2 設問2(4)なのですがTACやiTecのいづれも辞書(攻撃)が解答となっていますが、辞書攻撃だとアカウントロックの対処が有効に働き、問題文にある脆弱とはならないと考えます。
推測が容易なパスワードはリバースブルートフォース攻撃の狙い目の典型であり、アカウントロックも無効なため、解答としてはリバースブルートフォースとしか思えない、という固い頭になってしまっており、どなたか教えていただけませんか?
2021.10.15 05:26
mk2さん(No.44) 
No.43 カレーライスさん
私も同じくリバースブルートフォースにしました。
はじめは辞書攻撃かなと思っておりましたが、段落始めのロック機能についての説明の文と、空欄eのある文が「しかし、〜」で繋がれていていたため、前の文を踏まえて利用者IDの方を変えていかない限りロック機能が有効に働き辞書攻撃も防げるのかな〜っという感じです。
2021.10.15 08:35
ほぽんさん(No.45) 
No.43さん

リバースブルートフォースで良いと思います。
その次の多要素認証の解答方針で見解がバラけて盛り上がってましたが、なぜ辞書攻撃の方で盛り上がらんのだろう?と思う位、明らかな誤答なのにーと不思議に思っていたところでした
2021.10.15 10:33
ともやんさん(No.46) 
43〜45さん
完全に同感です。
辞書攻撃も複数回試行するものですので、確実に誤答と思われます。
リバースブルートフォース私からも1票。
2021.10.15 14:08
ひっささん(No.47) 
Aテキストを見ると、
●パスワードに関する攻撃
1.ブルートフォース攻撃
2.辞書攻撃
3.スニッフィング
4.リプレイ攻撃
5.パスワードリスト攻撃

Bテキストを見ると、
●パスワードクラック
※辞書ファイルを用いたパスワードクラック
「…よく使われている文字列をパスワードにしている場合…」

なので、辞書攻撃はパスワードで総当りするので、ユーザーを特定のユーザーにしないと非効率です。最も、破る前にロックされてしまいますが。
ですので、これは明らかにユーザーを特定せず、攻撃しているのでリバースになるはずです。
私自身も、ログイン機能の開発に関わったことがあるので、同じパスワードが何回も入力されたらログインを制限するような機能を開発することは意味がないと思います。同じIDで何回もログイン試行されたらロックするということであれば開発する意味があります。
2021.10.15 20:18
にかいめおじさんさん(No.48) 
午後1 問2 (4)
リバースと辞書で少し迷いました。
しかし、私が勉強で使用した書籍に、
「リバースは、パスワードの文字種やレングス(数字4桁など)…省略…が少ない場合に成功する可能性が高い」と記載されていたのを憶えていたので、問題文の「推測が容易」「長さが10文字であっても」という記述から、辞書攻撃と解答しました。

ここが間違っているとヤバめな点数予測なので、辞書であってほしい…
2021.10.15 22:35
Daikeさん(No.49) 
受験された皆様、お疲れ様でした。

問2  設問2(3)dにつきまして、解答速報が196となっていますが、
正誤表の記述(暗号化されたコンテンツ鍵を入手することはできない)を根拠に総当りで2^256回の計算が必要となり、256-60=196という理解で良いのでしょうか。
解答に集中して正誤表の存在を忘れてしまったのが悔やまれます。
2021.10.15 22:41
ターボーさん(No.50) 
リバースブルートフォースの概要

リバースブルートフォースとは不正ログインを目的とした攻撃手法の一つ。 ユーザーがよく設定しがちなパスワードに該当するIDと組み合わせてしらみつぶしに不正ログインを試みる



みんな「推測が容易なパスワード」で条件反射で辞書攻撃としてるんだろうと思いますが、そこが巧妙な引っ掛け問題で、
リバースブルートフォースも「推測が容易なパスワード」「ユーザーがよく設定しがちなパスワード」が条件として適合するんですよね。
ではアカウントロックを回避できるのは辞書?リバース?どっち?って考えると、リバースとなるってことすね。
IPAも悪辣な手を使ってきますよねー。
2021.10.15 23:02
にかいめさん(No.51) 
10文字っ書いてあるところがポイント
リバースブルートフォースは、数字4桁とか短いパスワードには有効だが長いパスワードには効果が低い。
「10文字」という記述にピンときた人は辞書と解答している。
2021.10.15 23:29
ターボーさん(No.52) 
No.49さん

Wソフトの解読に必要な総計算量
  2^256 × 2^60 = 2^316

IRM-L の解読に必要な総計算量
  2^256 × 2^112 = 2^368

よって両者の強度比較
  (2^368) ÷ (2^316) = 2^52 倍強度が高い

もしも、正誤表がなかったらのケースですが
Wソフトの解読に必要な総計算量
  2^256 × 2^60 = 2^316

IRM-L の解読に必要な総計算量
  2^112

となってしまい、Wソフトの方が強度高いですやん、と解釈されることを懸念して
あえて正誤表で補足したものと推測します。

正誤表がなければ52、正誤表があれば196なんて重要な場面で、あえて正誤表配って
答え196ですって事、ないと思いますけどね。
2021.10.15 23:35
Daikeさん(No.53) 
No52さん

Wシステムで暗号化したファイルは、総当りで鍵の特定、またはパスワードの特定のどちらかが
成立すれば、ファイルの暗号化を解除できると考えます。
→計算量の少ないパスワード(2^60)が暗号強度

同様に、IRM-Lで暗号化したファイルも、コンテンツ鍵の特定またはコンテンツ鍵を保護する
RSA-2048の突破のどちらかでよいと考えます。
→暗号化された鍵が手に入る      :2^112
        ”      が手に入らない  :2^256

との認識でした。
2021.10.15 23:51
ひっささん(No.54) 
一つ疑問に思ったのですが、ハッカーは鍵の特定または、パスワードの特定どちらが一番はやく終わるのか、また、コンテンツ鍵の特定またはRSA 2048の突破どちらが一番早く終わるのか、知り得ているのでしょうか?

もし、知らないのなら、どちらから手を付けるかによって、解答が変わってきます。
混乱のもととなるのではないかと思いました。
2021.10.16 01:07
ともやんさん(No.55) 
にかいめさん
10字はポイントではなく、推測が容易なパスワードが重要なんですよ。
2021.10.16 01:19
もっちーさん(No.56) 
私なら「qwertyuiop」の10文字でリバースかけるかなと思っちゃいました。
まぁこんな「例え10文字であっても、推測容易なパスワード」、今どき使ってるユーザーは
いないだろうなっとは思いながらも。ロック回避がこびりついて、リバースにしました。
2021.10.16 01:21
らんにゃーさん(No.57) 
辞書攻撃だとアカウントロックされてしまうので、私は逆ブルートフォース攻撃にしました。
2021.10.16 11:16
らっぷさん(No.58) 
コンテンツ鍵の特定  または  コンテンツ鍵を保護するRSA-2048の突破
のどちらかでよい場合
暗号化された鍵が手に入る場合の暗号強度:0
        ”      が手に入らない場合の暗号強度  :2^112
と考えて112-60=52としました
2021.10.16 12:16
通りすがりさん(No.59) 
辞書攻撃/リバースブルートフォース攻撃の話題がありますが、
辞書攻撃→アカウントロックで対策可能
リバースブルートフォース攻撃→総当たりなので、直前の文章の「推測が容易な」とあえて記載する旨が理解できない
のどちらの主張も尊重できる気がするんですよね

復習をしてて思ったのですが、パスワードスプレー攻撃は該当するかもと思いましたが、こちらについてはいかがでしょうか。
2021.10.17 00:26
らんにゃーさん(No.60) 
パスワードスプレー攻撃も良さそうですね。

また、リバースブルートフォース攻撃→総当たり
とは限りません。
リバースブルートフォース攻撃は、辞書攻撃やパスワードリスト攻撃を組み合わせるケースが多いようです。
多くの人が使っているパスワードに狙いを定めて攻撃することで、成功の確率が上がります。
パスワードスプレー攻撃との違いはわかりませんが。
2021.10.18 13:41
わいわいさん(No.61) 
私は午後I問2を選択しなかったのですが、皆様の書き込みに興味が湧き
自分なりに考察してみました

解答ですが私は「辞書攻撃」が適切と思います
理由ですが直前の文章の「推測が容易な」から「リバースブルートフォース攻撃」と
答えたくなるのは理解できます

しかし、本問の前提として
・従業員500名(利用者は500名くらいと推定)
・設計秘密の保持が目的
・内部システムなので、内部の人間からの不正な流出を防止したい
・攻撃者は目的の設計秘密をあらかじめ絞っている
が前提・仮定と判断しました

「リバースブルートフォース攻撃」が有効なケースは
・Webに公開される不特定多数システム(1万〜100万人規模)
・目的はとにかく不正ログインすること
・事前に欲しいデータがあるわけではない
と思います

一定時間のログイン試行回数制限・ログイン失敗回数でのロックと
ありますが、本当にデータが欲しいのであれば、この制限に
触れないようにゆっくりログイン試行することもできます
あくまで「リスクを下げる」としか書いていないので、
この制限をしてもなんらかで回避されることを想定して、注意書き
していると考えました
2021.10.18 16:25
わいわいさん(No.62) 
追加です
IPAが解答を「辞書」ではなく「リバースブルートフォース」を
解答させたいとする場合、出題傾向として、単語が長いので
「15文字以内で答えよ」といった文字数に関するヒントが
追加されると思われます
2021.10.18 18:44
ひっささん(No.63) 
問題文には「一定回数のログイン失敗でアカウントをロックする機能」とあります。

これは、ロックを解除するには、システム管理者に問い合わせないとできない仕様になっていると思われます。自然に解除されることはないと思います。これは、利用者を守るためでもあります。
ロックが掛かるということは、同じIDでの試行なのですから、辞書攻撃がこれに当たります。
ロックが掛かるだけでも、本人も驚くわけで、大騒ぎになるので、これはないのではと思います。

知的な攻撃者であれば、そういうことになることを避けるような方法を取るはずです。
リバースブルートフォース攻撃なら、そういうことは避けられます。

それと、内部の人間ということであれば、肩越しにパスワードを盗み見したり、キーロガーをつけたりするほうが効率的だと思います。ログインがどこの端末から行われたか、も調べたらわかるわけで、犯人が特定されたら、その犯人は即クビ、告訴にもなりかねいのではないかと思います。
そんなリスクを犯人が犯してまで、辞書攻撃を取るかどうか、定かではありません。
内部だけでなく、外部からの攻撃にも耐えうるように考える必要があると思います。
2021.10.18 20:55
ともやんさん(No.64) 
わいわいさん
ご意見となってしまい、恐縮ですが。。
結局、このケースにおいて、リバースブルートフォースよりも辞書攻撃の方が、攻撃方法として優位(効率的)である理由がわかりません。(つまり、答えとして辞書攻撃が適切という理由もわかりません)
2021.10.18 21:44
ひっささん(No.65) 
辞書攻撃、リバースブルートフォースアタックどちらも最終的には行きつくゴールは同じですが、そのプロセスが違います。
その会社の社員数が500名だとします(shain_001からshain_500)。
システムでは、ログイン失敗が5回(10回でもいいか)続けば、ロックされるものとします。

【辞書攻撃】
shain_001さん(ID: shain_001)を標的として、1,000個のかんたんなパスワードのリストを次々と試す。
(どれもダメだったら、次のshain_002さんに対して、同じことを行う。)

【リバースブルートフォースアタック】
あるパスワード(例えばpass123456、staff12345など)を固定する。次に、shain_001からshain_500に対して、ログインを試みる。
つまり、「パスワードがstaff12345などである社員が1名でもいれば突破」となる。

(考えてください)
・ハッカーにとってどれが最も効率的ですか?
・すぐにロックされ、不正利用が発覚するのはどれですか?
・不正利用が発覚しないような手法と、不正利用がすぐに発覚するような手法、どちらを防ぐのが、国家資格者として重要と考えますか?
2021.10.18 22:37
ともやんさん(No.66) 
ひっささん
とてもわかりやすい説明ありがとうございます。(今回の条件も付け加えてやると!)
2021.10.18 23:26
わいわいさん(No.67) 
皆様様
ご指摘頂きありがとうございます

まずは、攻撃者の観点で考えてみました
攻撃者からしたら別に他人のアカウントがロックしても構わないと思います
その時は別のユーザーのアカウントで試行を行います
もし、アカウントロックをおそれるなら、一日1回程度の試行とします
ログイン試行が失敗したとしても、正規ユーザの成功で失敗回数は
リセットされると考えられます

効率についてですが、特に効率は求めていません
目的は設計秘密の奪取なので一月でも半年でもかかってかまいません
特にその情報に多額の価値がある場合はなおさらです

あと、リバースブルートフォース攻撃ですが、
本問での攻撃方法を短時間、力づくの攻撃を行うと仮定してしまうと
リバースブルートフォース攻撃が唯一の答えに見えてしまうと思います
ですが、今回のシステムは利用者が500人程度なので、リバースブルート
フォースを行ったとしても1人あたりのログイン試行回数はすぐに制限回数に
達してしまい、リバースブルートフォースの効果は薄いと思われます
また、単位時間内の全体のログイン試行回数を見られていた場合は速アウトです
それを避けるためにはゆっくりリバースブルートフォース攻撃を
行ってもいいのですが、ゆっくり行うリバースブルートフォース攻撃は
それは複数人に対して実施する単なる辞書攻撃かと思います

これとは逆に管理者の視点で考えてみました
本システムは機密性の確保を最大限の目的としております
故に、管理者が要件として望むことは
「時間をいくらかけられても、またいかなる方法を用いられても
不正なパスワード認証の成功をゼロにしたい」
であると読み取りました
この要件を満たすために机上で検証し、1%でも漏えいの可能性が
あるのであれば対処したいと考えているのでしょう

ログインに関する制限も「リスクを下げることができる」とはありますが、
「確実に防げる」とは書かれていないのが、懸念を表していると思います
もし、ここで「確実に防げる」と書かれていた場合、辞書攻撃への対策は
完璧と判断し、次の懸念事項としてリバースブルートフォース攻撃への
対策の考慮が始まると思います
年度は失念しましたが、そのような展開で進む文章問題が過去にあったと
思います
2021.10.19 00:07
ひっささん(No.68) 
> もし、ここで「確実に防げる」と書かれていた場合、辞書攻撃への対策は
> 完璧と判断し、

IRM-Lもそうですが、他社に使っていただくようなシステムでは、辞書攻撃に対する対策はちゃんとできているのが普通と考えています。
むしろ、そういう対策ができていないシステムというのは珍しいのではないでしょうか?
教科書で学ぶ辞書攻撃は、古典的な攻撃として学習するだけで、実際はほとんどのシステムで対策済みの脅威であると考えます。

逆に、パスワードを固定してアタックするリバースは、かなりのシステムが予防機能を実装できていないか、想像だにしていないと考えるのが普通かと思います。

> アカウントロックをおそれるなら、一日1回程度の試行とします

辞書攻撃で、辞書が1,000単語だとしたら、社員一人あたり調べるのに3年かかりますよ?
10人調べるなら30年です。
効率を求めていないにしても、明らかに時間かかりすぎです。

> リバースブルート
> フォースを行ったとしても1人あたりのログイン試行回数はすぐに制限回数に
> 達してしまい、リバースブルートフォースの効果は薄いと思われます

それは、試行元のIPアドレスかなんかで、記録をしているということでしょうか?
そういう機能があるなら、IRM-Lはかなり安全性の高いシステムですね。辞書攻撃なんかとっくに想定済みではないかと思います。
であれば、IPアドレスを色々と偽装するようなボットハーダーなどでリバースを試行すればいいと思います。

> ゆっくり行うリバースブルートフォース攻撃は
> それは複数人に対して実施する単なる辞書攻撃かと思います

ここで、もう定義をごちゃごちゃにしてしまっています。
辞書攻撃は、IDをAさんに固定して、1,000の単語を試してから、次にBさんに固定、と言う考えです。Aさんが終わらないうちにBさんを試す、というのはもはや純粋な辞書攻撃ではありません。
リバースブルートフォースは、パスワードが******であるIDがないかどうか、を全社員に対してスキャンして調べるものです。1日1個のパスワードで試行しても、500回のログイン試行が可能となります。遥かに効率がいいのは自明です。また、純粋なブルートフォース攻撃です。
2021.10.19 09:59
わいわいさん(No.69) 
No.68様
貴重なご意見いただきありがとうございます

>IRM-Lもそうですが、他社に使っていただくようなシステムでは、
>辞書攻撃に対する対策はちゃんとできているのが普通と考えています。
>むしろ、そういう対策ができていないシステムというのは珍しいので
>はないでしょうか?

今回の設問の主題は正にこれで、管理者は一般的なログイン認証攻撃に対して
100%の防御策を検討していると読み取りました
まず、第一に防ぐべきは基本的な
・辞書攻撃
であり、その先に高度な攻撃として
・ブルートフォース攻撃
・リバースブルートフォース攻撃
等があると思いました

管理者が基本的な辞書攻撃の対応として、ログイン回数・ロックをしても
「リスクを下げられることができる」どまりで、「確実に防げる」まで
至ることができないので、基本的な辞書攻撃の対策の段階で利用者IDと
パスワードによる認証方式に見切りをつけたという趣旨の文章で、空欄は
e:[辞書],f:[二要素認証]が解答になると思いました

まとめると、解答として
・利用者IDとパスワードによる認証においては100%の安全性は確保できない
・故に二段階認証を用いる
という趣旨の文書を展開したかったのみだと思いました

>辞書攻撃で、辞書が1,000単語だとしたら、社員一人あたり調べるのに
>3年かかりますよ?
>10人調べるなら30年です。
>効率を求めていないにしても、明らかに時間かかりすぎです。
攻撃者が1人と仮定するならそうですが、複数人協力していた場合はこの数は
減ります
また、別々の目的で複数人の攻撃者いた場合も、だれかが成功してしまう
可能性があります

>それは、試行元のIPアドレスかなんかで、記録をしているということ
>でしょうか?
過去問の類似問題で、試行元のIP記録、システム全体での試行回数しきい値が
ありました 考える中でこの事例を参考にもしてみました
2021.10.19 11:11
ともやんさん(No.70) 
そもそもなのですが、辞書攻撃に対して、このケースで、効率性を踏まえると脆弱性はほぼ無いですよ。
効率性を考えないという考えがそもそも根本からおかしく、
それを許容するのであれば、どの方式であっても大概解読は可能となってしまいます。
2021.10.19 11:19
わいわいさん(No.71) 
No.70様

>そもそもなのですが、辞書攻撃に対して、このケースで、効率性を踏まえると
>脆弱性はほぼ無いですよ。
はい、おっしゃる通り、ほぼないのですが、0にはできていないです
そのため、0にできる二要素認証を採用するという旨の文章と思いました

>効率性を考えないという考えがそもそも根本からおかしく、
>それを許容するのであれば、どの方式であっても大概解読は可能と
>なってしまいます。
上と同じですが、パスワード認証を使用している限り、解読は可能です
今回は社内システムで機密性を一番重視しており、二要素認証が
使用可能と思われるので、不確定要素のあるパスワード認証をやめると
いうことだと思いました

効率性を考える場合ですが、不特定多数が使用するWebシステムなどは
二要素認証の導入が難しく、パスワード認証に頼らざるを得ないので、
その場合は、攻撃が成功する効率性を加味してパスワード認証の強度を
限りなく上げる必要があると思います

そういう点では、本問はパスワード認証方式の欠点をを指摘できれば
いいので空欄e:の解答ですが、
1.「辞書」
2.「リバースブルートフォース」
どちらでも加点されると思いますが、「辞書」で十分で
「リバースブルートフォース」は別解扱いになるのではと推測します
「リバースブルートフォース」を第一解答にするのであれば、
空欄f:のように文字数制限を入れてくると思います

すこしオーバーに汲み取るのであれば、空欄e:に文字数制限がないのは
「推測が容易なパスワード」というキーワードから
「辞書」と「リバースブルートフォース」をどちらも連想してしまい
そうなので、それに対する配慮なのかもしれません
2021.10.19 12:50
ともやんさん(No.72) 
わいわいさん
ご丁寧にありがとうございます。

今回の問題は、ある攻撃に対して脆弱になる。
その攻撃は何?というものです。

辞書攻撃への脆弱性はほぼないのであれば、辞書攻撃は解答として、不適切ですよね。
2021.10.19 19:32
ひっささん(No.73) 
> 攻撃者が1人と仮定するならそうですが、複数人協力していた場合はこの数は
> 減ります
> また、別々の目的で複数人の攻撃者いた場合も、だれかが成功してしまう
> 可能性があります

だから、複数人が協力していても、同じIDで企図していたら、すぐにロックが掛かりますよ。
接続元が異なるIPアドレスであっても、ロックはかかります。
5回失敗でロックが掛かるのなら、5人協力していたら、1人1回でロックかかります。それ以降は本人含め、誰もログインできなくなります。

わいわいさんの論法は、論理が破綻する前まで来ているように思います。
「リバースブルートフォースアタック」よりも「辞書」を優位に持っていこうとするあまり、詭弁というレベルに感じられます。
2021.10.19 20:25

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop