セキュリティ-予想問題-a

スポンサーリンク
スポンサーリンク

セキュ 予想1

ログイン機能をもつWebサイトに対する、パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして、最も適切なものはどれか。

パスワードの盗聴総当たり攻撃
暗号化された通信でパスワードを送信する。シングルサインオンを利用する。
暗号化された通信でパスワードを送信する。パスワードの入力試行回数を制限する。
推測が難しい文字列をパスワードに設定する。シングルサインオンを利用する。
推測が難しい文字列をパスワードに設定する。パスワードの入力試行回数を制限する。
ア 
イ 
ウ 
エ 
 

出典:ITパスポート 平成31年春 問59

–正解の理由–

パスワードの盗聴は、ネットワークでやりとりされているパスワードを、送信者、受信者以外の第三者が盗み取ることです。

通信内容が暗号化されていれば、通信が第三者に受信されても内容は理解されないので、パスワードは漏れません。

そのため、”暗号化された通信でパスワードを送信する。”ことで、パスワードの盗聴を防ぐことが出来ます。

総当たり攻撃は、主にパスワードの割り出しに用いられる手法です。

文字、数字、記号の全ての組み合わせをしらみ潰しに何回も試行します。

そのため、”パスワードの入力試行回数を制限する”ことで、総当たり攻撃を防ぐことができます。

よって、正解は  です。

–不正解の理由–

たとえ、”推測が難しい文字列”でも、ネットワークでやり取りしているデータが受信され、内容がわかるとパスワードは盗まれます。

”推測が難しい文字列”は、パスワードの盗聴の対策になりません。

シングルサインオンは、最初に認証に成功すると、その後は許可された複数のサービスに対して、毎回、利用者が認証の手続をしなくとも利用できるようにする仕組みです。

シングルサインオンは、総当たり攻撃への対策になりません。

セキュ 予想2

BEC (Business E-mail Compromise)に該当するものはどれか。

ア 巧妙なだましの手口を駆使し、取引先になりすまして偽の電子メールを送リ、金銭をだまし取る。
イ 送信元を攻撃対象の組織のメールアドレスに詐称し、多数の実在しないメールアドレスに一度に大量の電子メールを送り、攻撃対象の組織のメールアドレスを故意にブラックリストに登録させて、利用を阻害する。
ウ 第三者からの電子メールが中継できるように設定されたメールサーバを、スパムメールの中継に悪用する。
エ 誹謗中傷メールの送信元を攻撃対象の組織のメールアドレスに詐称し、組織の社会的な信用を大きく損なわせる。
 

出典:情報セキュリティマネジメント 令和元年秋午前 問1

–正解の理由–

BEC(Business E-mail Compromise)の各単語には、次のような意味があります。

Business →ビジネス
E-mail→電子メール
Compromise→傷つける,汚す.

日本語では「ビジネスメール詐欺」と訳されています。

BECは、海外の取引先や自社の経営者層等になりすまして、偽の電子メールを送って金銭をだまし取る詐欺です。

ア ”取引先になりすまして偽の電子メールを送リ、金銭をだまし取る。”とあるので、BECです。

よって、正解は  です。

–不正解の理由–

イ ”故意にブラックリストに登録させて、利用を阻害する。” は、BECでありません。

ウ ”メールサーバを、スパムメールの中継に悪用する。”は、BECでありません。

エ ”組織の社会的な信用を大きく損なわせる。”は、BECでありません。

セキュ 予想3

クリックジャッキング攻撃に該当するものはどれか。

ア Webアプリケーションの脆弱性を悪用し、Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって、利用者のWebブラウザのキャッシュを偽造する。
イ WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し、WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
ウ Webブラウザのタブ表示機能を利用し、 Webブラウザの非活性なタブの中身を、利用者が気付かないうちに偽ログインページに書き換えて、それを操作させる。
エ 利用者のWebブラウザの設定を変更することによって、利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
 

出典:情報セキュリティマネジメント 平成28年春午前 問22

–正解の理由–

クリックジャッキングは、Web閲覧者を視覚的に騙してクリックさせるなどの攻撃手法です。

WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し、WebサイトA上の操作に見せかけて標的サイトB上で操作させます。

クリックジャッキングの説明(テクノロジ系セキュリティ61.情報セキュリティ)

よって、正解は  です。

–不正解の理由–

ア ”利用者のWebブラウザのキャッシュを偽造する。”とあるので、クリックジャッキング攻撃でありません。

ウ ”Webブラウザのタブ表示機能を利用し”とあるので、クリックジャッキング攻撃でありません。

エ ”利用者のWebブラウザの設定を変更することによって”とあるので、クリックジャッキング攻撃でありません。

セキュ 予想4

ディレクトリトラバーサル攻撃はどれか。

ア OSコマンドを受け付けるアプリケーションに対して、攻撃者が、ディレクトリを作成するOSコマンドの文字列を入力して実行させる。
イ SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して、攻撃者が、任意のSQL文を渡して実行させる。
ウ シングルサインオンを提供するディレクトリサービスに対して、攻撃者が、不正に入手した認証情報を用いてログインし、複数のアプリケーションを不正使用する。
エ 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して、攻撃者が、上位のディレクトリを意味する文字列を入力して、非公開のファイルにアクセスする。
 

出典:応用情報 平成30年春午前 問38

–正解の理由–

ディレクトリトラバーサル攻撃は、攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルに不正アクセスする攻撃です。

ディレクトリトラバーサルの説明(テクノロジ系セキュリティ61.情報セキュリティ)

エ ”攻撃者が、上位のディレクトリを意味する文字列を入力して、非公開のファイルにアクセスする。”とあるので、ディレクトリトラバーサル攻撃です。

よって、正解は  です。

–不正解の理由–

ア ”OSコマンドを受け付けるアプリケーションに対して”とあるので、ディレクトリトラバーサル攻撃でありません。

イ ”攻撃者が、任意のSQL文を渡して実行させる。”とあるので、SQLインジェクションの説明です。

ウ ”攻撃者が、不正に入手した認証情報を用いてログインし”とあるので、ディレクトリトラバーサル攻撃でありません。

セキュ 予想5

Man-in-the-Browser攻撃に該当するものはどれか。

ア DNSサーバのキャッシュを不正に書き換えて、インターネットバンキングに見せかけた偽サイトをWebブラウザに表示させる。
イ PCに侵入したマルウェアが、利用者のインターネットバンキングへのログインを検知して、 Webブラウザから送信される振込先などのデータを改ざんする。
ウ インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき、その偽サイトに接続させて、 Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。
エ インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ、Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し、利用者になりすましてログインする。
 

出典:応用情報 平成28年春午前 問45

–正解の理由–

MITB(Man-in-the-Browser)攻撃は、パソコンで動作しているブラウザ(Browser)を乗っ取り、通信内容を盗聴したり、改ざんする攻撃です。

イ ”マルウェアが”、”Webブラウザから送信される振込先などのデータを改ざんする。”とあるので、MITBです。

よって、正解は  です。

–不正解の理由–

ア ”DNSサーバのキャッシュを不正に書き換えて”、”偽サイトをWebブラウザに表示させる。”とあるので、DNSキャッシュポイズニングです。

ウ ”インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき、その偽サイトに接続させて、 Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。”は、フィッシングの例です。

エ “インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ、Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し、利用者になりすましてログインする。”は、中間者(Man-in-the-middle)攻撃です。

セキュ 予想6

不正アクセスを行う手段の一つであるIPスプーフィングの説明として、適切なものはどれか。

ア 金融機関や有名企業などを装い、電子メールなどを使って利用者を偽のサイトへ誘導し、個人情報などを取得すること
イ 侵入を受けたサーバに設けられた、不正侵入を行うための通信経路のこと
ウ 偽の送信元IPアドレスをもったパケットを送ること
エ 本人に気付かれないように、利用者の操作や個人情報などを収集すること
 

出典:ITパスポート 平成27年秋 問81

–正解の理由–

IPスプーフィングは、自分のIPアドレスを偽装、あるいは、偽装して攻撃を行うといったことです。

ウ ”偽の送信元IPアドレスをもったパケットを送ること”は、IPスプーフィングの説明です。

よって、正解は  です。

–不正解の理由–

ア ”金融機関や有名企業などを装い、電子メールなどを使って利用者を偽のサイトへ誘導し、個人情報などを取得すること”は、フィッシングの説明です。

イ ”侵入を受けたサーバに設けられた、不正侵入を行うための通信経路のこと”は、バックドアの説明です。

エ ”本人に気付かれないように、利用者の操作や個人情報などを収集すること”は、スパイウェアの説明です。

セキュ 予想7

クリプトジャッキングに該当するものはどれか。

ア PCにマルウェアを感染させ、そのPCのCPUなどが有する処理能力を不正に利用して、暗号資産の取引承認に必要となる計算を行い、報酬を得る。
イ 暗号資産の取引所から利用者のアカウント情報を盗み出し、利用者になりすまして、取引所から暗号資産を不正に盗みとる。
ウ カード加盟店に正規に設置されている、カードの磁気ストライプの情報を読み取る機器から、カード情報を窃取する。カード加盟店に正規に設置されている、カードの磁気ストライプの情報を読み取る機器から、カード情報を窃取する。
エ 利用者のPCを利用できなくし、再び利用できるようにするのと引換えに金銭を要求する。
 

出典:応用情報 令和2年秋午前 問41

–正解の理由–

クリプトジャッキングは、暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を、他人のコンビュータを使って気付かれないように行うことです。

ア ”PCのCPUなどが有する処理能力を不正に利用して、暗号資産の取引承認に必要となる計算を行い、報酬を得る。”とあるので、クリプトジャッキングに該当します。

よって、正解は  です。

–不正解の理由–

イ ”取引所から暗号資産を不正に盗みとる。”は、クリプトジャッキングではありません。

ウ ”カードの磁気ストライプの情報を読み取る機器から、カード情報を窃取する。”は、スキミングの説明です。

エ ”利用者のPCを利用できなくし、再び利用できるようにするのと引換えに金銭を要求する。”は、ランサムウェアの説明です。

セキュ 予想8

攻撃者がシステムに侵入するときにポートスキャンを行う目的はどれか。

ア 事前調査の段階で、攻撃できそうなサービスがあるかどうかを調査する。
イ 権限取得の段階で、権限を奪取できそうなアカウントがあるかどうかを調査する。
ウ 不正実行の段階で、攻撃者にとって有益な利用者情報があるかどうかを調査する。
エ 後処理の段階で、システムログに攻撃の痕跡が残っていないかどうかを調査する。
 

出典:情報セキュリティマネジメント 平成28年春午前 問29

–正解の理由–

ポートは、インターネットで情報のやり取りを行うために、使用される番号のことで、IPアドレスとともに指定される補助用のアドレスです。

ポート番号から、アクセスを受け付けているポート、使われているソフトウェア、設定が外部からわかります。

そのため、攻撃者は、攻撃に利用可能な設定の不備やソフトウェアの脆弱性などがないかを調べるためにポートスキャンを行います。

ア ”事前調査の段階で、攻撃できそうなサービスがあるかどうかを調査する。”は、ポートスキャンの目的です。

よって、正解は  です。

–不正解の理由–

イ ポートスキャンでは、アカウントはわかりません。

ウ ポートスキャンでは、利用者情報はわかりません。

エ ポートスキャンでは、システムログはわかりません。

コメント

タイトルとURLをコピーしました