応用情報技術者試験 令和4年春期 問42
パスワードクラック手法の一種である,レインボー攻撃に該当するものはどれか。
ア:何らかの方法で事前に利用者IDと平文のパスワードのリストを入手しておき,複数のシステム間で使い回されている利用者IDとパスワードの組みを狙って,ログインを試行する。
イ:パスワードに成り得る文字列の全てを用いて,総当たりでログインを試行する。
ウ:平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき,それを用いて,不正に入手したハッシュ値からパスワードを解読する。
エ:利用者の誕生日や電話番号などの個人情報を言葉巧みに聞き出して,パスワードを類推する。
出典 IPA公開[過去問題]:https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_ap_am_qs.pdf
正解は、「ウ:平文のパスワードとハッシュ値をチェーンによって管理するテーブルを準備しておき,それを用いて,不正に入手したハッシュ値からパスワードを解読する。」です。
レインボー攻撃とは、何らかの方法でレインボーテーブルを作っておき、不正に入手したハッシュ値とレインボーテーブルを使ってハッシュ値を変換前の元のパスワードに解読する攻撃手法の1つです。
レインボーテーブルとは、入力された文字をどの文字に置き換えるのかを管理するテーブルのことです。
※通常は、ユーザはある程度の長さの文字列をパスワードとして設定するのでどの入力文字が何に置き換わるのかは把握しにくくなっていますが、攻撃者は1文字入力して、変換後どうなるのかを観察することで対応表を作ります。そうすることで、ハッシュ値から逆引きして元のパスワードを割り出します。
※過去出題経歴:令和5年秋期 問36
※過去出題経歴:平成31年春期 問38