令和5年度 秋期 データベーススペシャリスト試験 午前Ⅰ試験 問12

過去問 午前Ⅰ試験過去問
アラフィフオヤジ
アラフィフオヤジ

令和5年度 秋期 データベーススペシャリスト試験 午前Ⅰ試験 問12を解いてみましょう

テクノロジ系 >> セキュリティ >> 情報セキュリティ

問題

パスワードクラック手法の一種である、レインボーテーブル攻撃に該当するものはどれか。

ア 何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき、複数のシステム間で使いまわされている利用者IDとパスワードの組みを狙って、ログインを試行する。

イ パスワードに成り得る文字列の全てを用いて、総当たりでログインを試行する。

ウ 平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき、それを用いて、不正に入手したハッシュ値からパスワードを解読する。

エ 利用者の誕生日、電話番号などの個人情報を言葉巧みに聞き出して、パスワードを類推する。

解説

アラフィフオヤジ
アラフィフオヤジ

正解は「」です。

レインボーテーブル攻撃は、ハッシュ値からパスワードを特定するための逆引き表(レインボーテーブル)を用いて、ハッシュ値の元となったパスワードを効率的に解読する手法です。

レインボーテーブルは、使用される文字種と文字数の組合せごとに作成されます。レインボーテーブル内では、パスワードとハッシュ値を数多くのチェーンとして管理しており、実際のテーブルにはチェーンの先頭であるパスワードと最後のハッシュ値だけを格納しておきます。

解読対象のハッシュ値を入手したら、チェーンの各位置からチェーン化で行ったのと同様の計算を施し、チェーンの最後のハッシュ値を計算します。これがレインボーテーブルに格納されているハッシュ値のいずれかと一致すれば、対応するパスワードが存在するチェーンがわかる仕組みになっています。

は、パスワードリスト攻撃と呼ばれる手法です。 は、総当たり攻撃と呼ばれる手法です。 は、パスワード推測攻撃と呼ばれる手法です。

したがって、 は、レインボーテーブル攻撃に該当する手法であると言えます。

なお、レインボーテーブル攻撃は、ハッシュ化されたデータが解読されやすいという脆弱性を利用する攻撃手法です。ハッシュ化されたデータは、原則として元のデータを復元できないように設計されていますが、レインボーテーブル攻撃では、大量のレインボーテーブルを用意することで、ハッシュ化されたデータを効率的に解読することができます。

レインボーテーブル攻撃を防ぐためには、ハッシュ化に使用するアルゴリズムやパラメーターを適切に選択し、ハッシュ化されたデータを保存する際には、十分な強度の暗号化を使用するなどの対策が必要です。