セキュリティ-予想問題-a

スポンサーリンク

セキュ 予想1

ログイン機能をもつWebサイトに対する、パスワードの盗聴と総当たり攻撃へのそれぞれの対策の組合せとして、最も適切なものはどれか。

パスワードの盗聴総当たり攻撃
暗号化された通信でパスワードを送信する。シングルサインオンを利用する。
暗号化された通信でパスワードを送信する。パスワードの入力試行回数を制限する。
推測が難しい文字列をパスワードに設定する。シングルサインオンを利用する。
推測が難しい文字列をパスワードに設定する。パスワードの入力試行回数を制限する。
ア 
イ 
ウ 
エ 
 

出典:ITパスポート 平成31年春 問59

正解の理由

パスワードの盗聴は、ネットワークでやりとりされているパスワードを、送信者、受信者以外の第三者が盗み取ることです。

通信内容が暗号化されていれば、通信が第三者に受信されても内容は理解されないので、パスワードは漏れません。

そのため、「暗号化された通信でパスワードを送信する。」ことで、パスワードの盗聴を防ぐことが出来ます。

総当たり攻撃は、主にパスワードの割り出しに用いられる手法です。文字、数字、記号の全ての組み合わせをそれぞれパスワードとして、繰り返しログインを試みる攻撃です。

そのため、「パスワードの入力試行回数を制限する」ことで、総当たり攻撃を防ぐことができます。

よって、正解は  です。

不正解の理由

たとえ、「推測が難しい文字列」でも、ネットワークでやり取りしているデータが受信され、内容がわかるとパスワードは盗まれます。

推測が難しい文字列」は、パスワードの盗聴の対策になりません。

シングルサインオンは、最初に認証に成功すると、その後は許可された複数のサービスに対して、毎回、利用者が認証の手続をしなくとも利用できるようにする仕組みです。
(ITパスポート 平成28年春 問93より)

シングルサインオンは、総当たり攻撃への対策になりません。

セキュ 予想2

BEC (Business E-mail Compromise)に該当するものはどれか。

ア 巧妙なだましの手口を駆使し、取引先になりすまして偽の電子メールを送リ、金銭をだまし取る。
イ 送信元を攻撃対象の組織のメールアドレスに詐称し、多数の実在しないメールアドレスに一度に大量の電子メールを送り、攻撃対象の組織のメールアドレスを故意にブラックリストに登録させて、利用を阻害する。
ウ 第三者からの電子メールが中継できるように設定されたメールサーバを、スパムメールの中継に悪用する。
エ 誹謗中傷メールの送信元を攻撃対象の組織のメールアドレスに詐称し、組織の社会的な信用を大きく損なわせる。
 

出典:情報セキュリティマネジメント 令和元年秋午前 問1

正解の理由

BEC(Business E-mail Compromise:ビジネスメール詐欺)は、海外の取引先や自社の経営者層などになりすまして、偽の電子メールを送って金銭をだまし取る詐欺です。

 「取引先になりすまして偽の電子メールを送リ、金銭をだまし取る。」とあるので、BECです。

よって、正解は  です。

不正解の理由

 「攻撃対象の組織のメールアドレスを故意にブラックリストに登録させて、利用を阻害する。」とあるので、BECでありません。

 「スパムメールの中継に悪用する。」とあるので、踏み台攻撃の記述です。

 「組織の社会的な信用を大きく損なわせる。」とあるので、レピュテーションリスクの記述です。

レピュテーションリスクは、企業に対して否定的な評判が広まることによって、信用やブランド価値の低下などの損害を被るリスクのことです。

セキュ 予想3

クリックジャッキング攻撃に該当するものはどれか。

ア Webアプリケーションの脆弱性を悪用し、Webサーバに不正なリクエストを送ってWebサーバからのレスポンスを二つに分割させることによって、利用者のWebブラウザのキャッシュを偽造する。
イ WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し、WebサイトA上の操作に見せかけて標的サイトB上で操作させる。
ウ Webブラウザのタブ表示機能を利用し、 Webブラウザの非活性なタブの中身を、利用者が気付かないうちに偽ログインページに書き換えて、それを操作させる。
エ 利用者のWebブラウザの設定を変更することによって、利用者のWebページの閲覧履歴やパスワードなどの機密情報を盗み出す。
 

出典:情報セキュリティマネジメント 平成28年春午前 問22

正解の理由

クリックジャッキングは、Web閲覧者を視覚的に騙してクリックさせるなどの攻撃手法です。

クリックジャッキングの説明(テクノロジ系セキュリティ61.情報セキュリティ)

 「WebサイトAのコンテンツ上に透明化した標的サイトBのコンテンツを配置し、WebサイトA上の操作に見せかけて標的サイトB上で操作させる。」とあるので、クリックジャッキング攻撃に該当します。

よって、正解は  です。

不正解の理由

 「Webサーバからのレスポンスを二つに分割させる」とあるので、HTTPレスポンス分割攻撃の記述です。

 「Webブラウザの非活性なタブの中身を、利用者が気付かないうちに偽ログインページに書き換えて」とあるので、Tabnabbing攻撃の記述です。

 「利用者のWebブラウザの設定を変更することによってとあるので、スパイウェアの記述です。

スパイウェアは、利用者が認識することなくインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラムです。
(ITパスポート 平成29年春 問58より)

セキュ 予想4

ディレクトリトラバーサル攻撃はどれか。

ア OSコマンドを受け付けるアプリケーションに対して、攻撃者が、ディレクトリを作成するOSコマンドの文字列を入力して実行させる。
イ SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して、攻撃者が、任意のSQL文を渡して実行させる。
ウ シングルサインオンを提供するディレクトリサービスに対して、攻撃者が、不正に入手した認証情報を用いてログインし、複数のアプリケーションを不正使用する。
エ 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して、攻撃者が、上位のディレクトリを意味する文字列を入力して、非公開のファイルにアクセスする。
 

出典:応用情報 平成30年春午前 問38

正解の理由

ディレクトリトラバーサル攻撃は、攻撃者がパス名を使ってファイルを指定し、管理者の意図していないファイルに不正アクセスする攻撃です。

ディレクトリトラバーサルの説明(テクノロジ系セキュリティ61.情報セキュリティ)

 「攻撃者が、上位のディレクトリを意味する文字列を入力して、非公開のファイルにアクセスする。」とあるので、ディレクトリトラバーサル攻撃です。

よって、正解は  です。

不正解の理由

 「OSコマンドを受け付けるアプリケーションに対して」とあるので、OSコマンドインジェクションの記述です。

イ 「攻撃者が、任意のSQL文を渡して実行させる。とあるので、SQLインジェクションの説明です。

SQLインジェクションは、Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃です。

 「攻撃者が、不正に入手した認証情報を用いてログインし」とあるので、不正アクセスの記述です。

シングルサインオンは、最初に認証に成功すると、その後は許可された複数のサービスに対して、毎回、利用者が認証の手続をしなくとも利用できるようにする仕組みです。
(ITパスポート 平成28年春 問93より)

セキュ 予想5

Man-in-the-Browser攻撃に該当するものはどれか。

ア DNSサーバのキャッシュを不正に書き換えて、インターネットバンキングに見せかけた偽サイトをWebブラウザに表示させる。
イ PCに侵入したマルウェアが、利用者のインターネットバンキングへのログインを検知して、 Webブラウザから送信される振込先などのデータを改ざんする。
ウ インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき、その偽サイトに接続させて、 Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。
エ インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ、Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し、利用者になりすましてログインする。
 

出典:応用情報 平成28年春午前 問45

正解の理由

MITB(Man-in-the-Browser)攻撃は、パソコンで動作しているブラウザ(Browser)を乗っ取り、通信内容を盗聴したり、改ざんする攻撃です。

 「Webブラウザから送信される振込先などのデータを改ざんする。」とあるので、MITBです。

よって、正解は  です。

不正解の理由

 「DNSサーバのキャッシュを不正に書き換えて”、”偽サイトをWebブラウザに表示させる。」とあるので、DNSキャッシュポイズニングです。

DNSキャッシュポイズニングは、PCが参照するDNSサーバに偽のドメイン情報を注入して、利用者を偽装されたサーバに誘導する攻撃です。
(情報セキュリティマネジメント 平成29年秋午前 問22より)

 「インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき、その偽サイトに接続させて、 Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。」は、フィッシングの例です。

フィッシングの説明(テクノロジ系セキュリティ61.情報セキュリティ)

 「インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ、Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し、利用者になりすましてログインする。」は、中間者(Man-in-the-middle)攻撃です。

セキュ 予想6

不正アクセスを行う手段の一つであるIPスプーフィングの説明として、適切なものはどれか。

ア 金融機関や有名企業などを装い、電子メールなどを使って利用者を偽のサイトへ誘導し、個人情報などを取得すること
イ 侵入を受けたサーバに設けられた、不正侵入を行うための通信経路のこと
ウ 偽の送信元IPアドレスをもったパケットを送ること
エ 本人に気付かれないように、利用者の操作や個人情報などを収集すること
 

出典:ITパスポート 平成27年秋 問81

正解の理由

IPスプーフィングは、偽の送信元IPアドレスをもったパケットを送る攻撃です。
(ITパスポート 平成27年秋 問81より)

 「偽の送信元IPアドレスをもったパケットを送ること」とあるので、IPスプーフィングの説明です。

よって、正解は  です。

不正解の理由

 「金融機関や有名企業などを装い、電子メールなどを使って利用者を偽のサイトへ誘導し、個人情報などを取得すること」とあるので、フィッシングの説明です。

フィッシングは、偽の電子メールを送信するなどして、受信者を架空のWebサイトや実在しているWebサイトの偽サイトに誘導し、情報を不正に取得する行為です。
(ITパスポート 平成23年秋 問87より)

 「侵入を受けたサーバに設けられた、不正侵入を行うための通信経路のこと」とあるので、バックドアの説明です。

バックドアは、情報ネットワークやサーバにおいて、通常のアクセス経路以外で、侵入者が不正な行為に利用するために設置するものです。
(応用情報 平成21年春午前 問41より)

 「本人に気付かれないように、利用者の操作や個人情報などを収集すること」とあるので、スパイウェアの説明です。

スパイウェアは、利用者が認識することなくインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラムです。
(ITパスポート 平成29年春 問58より)

セキュ 予想7

クリプトジャッキングに該当するものはどれか。

ア PCにマルウェアを感染させ、そのPCのCPUなどが有する処理能力を不正に利用して、暗号資産の取引承認に必要となる計算を行い、報酬を得る。
イ 暗号資産の取引所から利用者のアカウント情報を盗み出し、利用者になりすまして、取引所から暗号資産を不正に盗みとる。
ウ カード加盟店に正規に設置されている、カードの磁気ストライプの情報を読み取る機器から、カード情報を窃取する。カード加盟店に正規に設置されている、カードの磁気ストライプの情報を読み取る機器から、カード情報を窃取する。
エ 利用者のPCを利用できなくし、再び利用できるようにするのと引換えに金銭を要求する。
 

出典:応用情報 令和2年秋午前 問41

正解の理由

クリプトジャッキングは、暗号資産(仮想通貨)を入手するためのマイニングと呼ばれる作業を、他人のコンビュータを使って気付かれないように行うことです。

 「PCのCPUなどが有する処理能力を不正に利用して、暗号資産の取引承認に必要となる計算を行い、報酬を得る。」とあるので、クリプトジャッキングに該当します。

よって、正解は  です。

不正解の理由

 「取引所から暗号資産を不正に盗みとる。」は、クリプトジャッキングではありません。

 「カードの磁気ストライプの情報を読み取る機器から、カード情報を窃取する。」とあるので、スキミングの説明です。

 「利用者のPCを利用できなくし、再び利用できるようにするのと引換えに金銭を要求する。」とあるので、ランサムウェアの説明です。

ランサムウェアの説明(テクノロジ系セキュリティ61.情報セキュリティ)

セキュ 予想8

攻撃者がシステムに侵入するときにポートスキャンを行う目的はどれか。

ア 事前調査の段階で、攻撃できそうなサービスがあるかどうかを調査する。
イ 権限取得の段階で、権限を奪取できそうなアカウントがあるかどうかを調査する。
ウ 不正実行の段階で、攻撃者にとって有益な利用者情報があるかどうかを調査する。
エ 後処理の段階で、システムログに攻撃の痕跡が残っていないかどうかを調査する。
 

出典:情報セキュリティマネジメント 平成28年春午前 問29

正解の理由

ポート番号は、インターネットで情報のやり取りを行うために、使用される番号のことで、IPアドレスとともに指定される補助用のアドレスです。

ポート番号から、アクセスを受け付けているポート、使われているソフトウェア、設定が外部からわかります。

そのため、攻撃者は、攻撃に利用可能な設定の不備やソフトウェアの脆弱性などがないかを調べるためにポートスキャンを行います。

 「事前調査の段階で、攻撃できそうなサービスがあるかどうかを調査する。」は、ポートスキャンの目的です。

よって、正解は  です。

不正解の理由

 ポートスキャンでは、「アカウント」はわかりません。

 ポートスキャンでは、「利用者情報」はわかりません。

 ポートスキャンでは、「システムログ」はわかりません。

  前ページ  問題一覧  次ページ 
データ 予想1 予想問題 セキュ 予想9

コメント

タイトルとURLをコピーしました