※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「C.パスワードリスト攻撃」です。
パスワードリスト攻撃とは、攻撃対象とは別のサイトから流出・盗み出した大量の認証情報(ID・パスワード)を使い、標的のWebサイトに不正に侵入を試みる攻撃手法です。
この記事では、ITパスポート試験(令和4年度)で出題された過去問の第41問「パスワードリスト攻撃」について、試験対策の観点からわかりやすく解説します。
パスワードリスト攻撃とは
パスワードリスト攻撃=流出認証情報を使った不正ログイン
攻撃者は過去に流出したID・パスワードのリストを入手し、それを使って複数のWebサイトやサービスで不正ログインを試みます。同じパスワードを使い回すユーザーが狙われやすく、大規模な被害につながる可能性があります。
他の選択肢との違い
- DoS攻撃:サービス妨害を目的に大量の通信でサーバを停止させる攻撃
- SQLインジェクション:Webサイトのデータベースに不正な命令を注入する攻撃
- フィッシング:偽サイトやメールでユーザーから情報を騙し取る手法
パスワードリスト攻撃は、取得済みの認証情報を「流用」して不正ログインする点が特徴です。
問われているポイント
この問題では、攻撃手法の種類と特徴を正しく理解しているかが問われています。
「大量の認証情報を流用して侵入する攻撃」がパスワードリスト攻撃であることを押さえましょう。
気を付けてほしい点(勘違いしやすいポイント)
- パスワードリスト攻撃はフィッシングとは異なり、直接盗んだ情報を利用する
- DoS攻撃やSQLインジェクションとは目的・手法が異なる
補足
ユーザーはサービスごとに異なるパスワードを設定することで被害を防ぎやすくなります。
ITパスポート試験での出題パターン
テクノロジ系では、代表的なサイバー攻撃の特徴や手法を問う問題が出題されます。
攻撃の目的や手口を区別できることが重要です。
この知識が使われている問題
まとめ
- パスワードリスト攻撃は流出認証情報を使った不正ログイン手法
- DoS攻撃・SQLインジェクション・フィッシングとは目的や手法が異なる
- 同一パスワードの使い回しは被害につながりやすい