SC午前2過去問)テクノロジ系 » セキュリティ » 情報セキュリティ
目次
サイドチャネル攻撃
電磁波解析攻撃(テンペスト攻撃)
過去問
平成30年春期 問13
Q:テンペスト攻撃を説明したものはどれか。
A:処理中に機器から放射される電磁波を観測して解析する。
令和元年秋期 問2
Q:暗号機能を実装したIoT機器において脅威となるサイドチャネル攻撃に該当するものはどれか。
A:機器が発する電磁波を測定することによって秘密情報の取得を試みる。
平成31年春期 問7
Q:サイドチャネル攻撃に該当するものはどれか。
A:暗号化装置における暗号化処理時の消費電力などの測定や統計処理によって,当該装置内部の秘密情報を推定する攻撃
平成29年秋期 問8
Q:暗号化装置において暗号化処理時に消費電力を測定するなどして,当該装置内部の秘密情報を推定する攻撃はどれか。
A:サイドチャネル攻撃
平成29年春期 問3
Q:サイドチャネル攻撃の説明はどれか。
A:暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。
Dos攻撃
DDos攻撃
サーバのリソースを枯渇させる攻撃、ネットワーク帯域を溢れさせる攻撃、アプリケーション層の脆弱性を突く攻撃、フラッド系、スロー系など様々な種類がありますが、マルチベクトル型DDoS攻撃では、これらを2つ以上同時に行うことで防御を難しくします。
マルチベクトル型DDoS攻撃
複数のDDoS攻撃手法を組み合わせて標的のサービス停止を狙う攻撃
平成30年秋期 問4
Q:マルチベクトル型DDoS攻撃に該当するものはどれか。
A:攻撃対象のWebサーバ1台に対して,多数のPCから一斉にリクエストを送ってサーバのリソースを枯渇させる攻撃と,大量のDNS通信によってネットワークの帯域を消費させる攻撃を同時に行う。
令和元年秋期 問13
Q:マルチベクトル型DDoS攻撃に該当するものはどれか。
A:Webサイトに対して,SYN Flood攻撃とHTTP POST Flood攻撃を同時に行う。
平成30年秋期 問7
Q:UDPの性質を悪用したDDoS攻撃に該当するものはどれか。
平成31年春期 問6
A:ICMPの応答パケットを大量に発生させ,それが攻撃対象に送られるようにする。
平成29年春期 問5
Q:セッションIDの固定化(Session Fixation)攻撃の手口はどれか。
A:悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。
平成28年秋期 問2
Q:NTPリフレクション攻撃の特徴はどれか。
A:送信元を偽って,NTPサーバにレスポンスデータが大きくなる要求を送信する。
平成29年春期 問18
Q:ICMP Flood攻撃に該当するものはどれか。
A:pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
ディジタル署名
なんか、ぱっとイメージ出来ていないな。
送信者:送信者の秘密鍵 で暗号化
受信者:送信者の公開鍵 で復号化
https://www.sc-siken.com/kakomon/30_haru/img/07.gif
過去問
平成30年春期 問7
Q:発信者がメッセージのハッシュ値からディジタル署名を生成するのに使う鍵はどれか。
A:発信者の秘密鍵
令和元年秋期 問4
A:XML文書中の任意のエレメントに対してデタッチ署名(Detached Signature)を付けることができる。
平成29年秋期 問10
Q:ディジタル証明書に関する記述のうち,適切なものはどれか。
A:ディジタル証明書は,TLSプロトコルにおいて通信データの暗号化のための鍵交換や通信相手の認証に利用されている。
平成26年春期 問2
Q:XML署名において署名対象であるオブジェクトの参照を指定する表記形式はどれか。
A:URIの形式
ODコマンドインジェクション
平成30年秋期 問13
Q:Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。
A:OSコマンドインジェクション
平成30年春期 問2
Q:Webサーバのログを分析したところ,Webサーバへの攻撃と思われるHTTPリクエストヘッダが記録されていた。次のHTTPリクエストヘッダから推測できる,攻撃者が悪用しようとしている脆弱性はどれか。ここで,HTTPリクエストヘッダはデコード済みである。
〔HTTPリクエストヘッダの部分〕
GET /cgi-bin/submit.cgi?user=;cat /etc/passwd HTTP/1.1
Accept: */*
Accept-Language: ja
Accept-Encoding: gzip,deflate
User-Agent: (省略)
Host: test.example.com
Connection: Keep-Alive
A:OSコマンドインジェクション
エクスプロイトコード
平成30年春期 問4
Q:エクスプロイトコードの説明はどれか。
A:攻撃コードとも呼ばれ,脆弱性を悪用するソフトウェアのコードのことであるが,使い方によっては脆弱性の検証に役立つこともある。
令和元年秋期 問15
Q:攻撃者に脆弱性に関する専門の知識がなくても,OSやアプリケーションソフトウェアの脆弱性を悪用した攻撃ができる複数のプログラムや管理機能を統合したものはどれか。
A:Exploit Kit
平成29年秋期 問5
Q:情報セキュリティにおけるエクスプロイトコードの説明はどれか。
A:ソフトウェアやハードウェアの脆弱性を利用するために作成されたプログラム
証明書・暗号
VA
令和元年秋期 問3
Q:VA(Validation Authority)の役割はどれか。
A:ディジタル証明書の失効状態についての問合せに応答する。
平成31年春期 問1
Q:CRL(Certificate Revocation List)に掲載されるものはどれか。
A:有効期限内に失効したディジタル証明書のシリアル番号
令和元年秋期 問6
Q:X.509におけるCRL(Certificate Revocation List)に関する記述のうち,適切なものはどれか。
A:認証局は,有効期限内のディジタル証明書のシリアル番号をCRLに登録することがある。
平成30年秋期 問1
Q:AESの特徴はどれか。
A:鍵長によって,段数が決まる。
平成31年春期 問4
Q:ハッシュ関数の性質の一つである衝突発見困難性に関する記述のうち,適切なものはどれか。
A:衝突発見困難性とは,ハッシュ値が一致する二つのメッセージの発見に要する計算量が大きいことによる,発見の困難性のことである。
平成31年春期 問2
A:ディジタル証明書の失効情報を問い合わせる。
平成28年春期 問9
Q:暗号に関連するデータのうち,次に示す処理で出力可能なものはどれか。
A:疑似乱数
平成28年秋期 問1
Q:RADIUSやDIAMETERが提供するAAAフレームワークの構成要素は,認証(Authentication)及び認可(Authorization)の他にどれか。
A:Accounting
平成27年秋期 問2
Q:特定の認証局が発行したCRLに関する記述のうち,適切なものはどれか。
A:CRLには,有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示される。
平成27年春期 問1
Q:Webのショッピングサイトを安全に利用するため,WebサイトのSSL証明書を表示して内容を確認する。Webサイトが,EV SSL証明書を採用している場合,存在するサブジェクトフィールドのOrganization Nameに記載されているものはどれか。
A:Webサイトの運営団体の組織名
認証
平成31年春期 問3
Q:標準化団体OASISが,Webサイトなどを運営するオンラインビジネスパートナ間で認証,属性及び認可の情報を安全に交換するために策定したものはどれか。
A:SAML
平成30年春期 問9
Q:認証デバイスに関する記述のうち,適切なものはどれか。
A:成人の虹彩は,経年変化がなく,虹彩認証では,認証デバイスでのパターン更新がほとんど不要である。
平成30年春期 問5
Q:シングルサインオンの実装方式に関する記述のうち,適切なものはどれか。
A:リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。
令和元年秋期 問1
Q:認証処理のうち,FIDO(Fast IDentity Online) UAF(Universal Authentication Framework)1.1に基づいたものはどれか。
A:SaaS接続時の認証において,スマートフォンで顔認証を行った後,スマートフォン内の秘密鍵でディジタル署名を生成して,そのディジタル署名を認証サーバに送信した。
平成28年秋期 問6
Q:リスクベース認証に該当するものはどれか。
A:利用者のIPアドレスなどの環境を分析し,いつもと異なるネットワークからのアクセスに対して追加の認証を行う。
平成29年春期 問2
Q:SSL/TLSのダウングレード攻撃に該当するものはどれか。
A:暗号化通信を確立するとき,弱い暗号スイートの使用を強制することによって,解読しやすい暗号化通信を行わせる。
平成28年秋期 問3
Q:POODLE(CVE-2014-3566)攻撃の説明はどれか。
A:SSL 3.0を使用した通信において,ブロック暗号のCBCモード利用時の脆弱性を突く攻撃であり,パディングを悪用して暗号化通信の内容を解読できる。
平成26年春期 問17
Q:SSLに対するバージョンロールバック攻撃の説明はどれか。
A:SSL実装の脆弱性を用いて,通信経路に介在する攻撃者が弱い暗号化通信方式を強制することによって,暗号化通信の内容を解読して情報を得る。
マルウェア
平成31年春期 問5
Q:仮想通貨環境において,報酬を得るために行われるクリプトジャッキングはどれか。
A:他人のPC又はサーバに侵入して計算資源を不正に利用し,台帳への追記の計算を行う。
平成30年春期 問15
Q:ルートキットの特徴はどれか。
A:OSなどに不正に組み込んだツールを隠蔽する。
平成30年秋期 問11
Q:マルウェアMiraiの動作はどれか。
A:ランダムなIPアドレスを生成してtelnetポートにログインを試行し,工場出荷時の弱いパスワードを使っているIoT機器などに感染を広げるとともに,C&Cサーバからの指令に従って標的に対してDDoS攻撃を行う。
令和元年秋期 問10
Q:BlueBorneの説明はどれか。
A:Bluetoothを悪用してデバイスを不正に操作したり,情報を窃取したりする,複数の脆弱性の呼称
平成28年秋期 問11
Q:マルウェアの活動傾向などを把握するための観測用センサが配備されるダークネットはどれか。
A:インターネット上で到達可能,かつ,未使用のIPアドレス空間
平成26年春期 問3
Q:クラウドサービスにおける,従量課金を利用したEDoS(Economic Denial of Service,Economic Denial of Sustainability)攻撃の説明はどれか。
A:クラウド利用企業の経済的な損失を目的に,リソースを大量消費させる攻撃
平成27年秋期 問5
Q:ポリモーフィック型ウイルスの説明として,適切なものはどれか。
A:感染するごとにウイルスのコードを異なる鍵で暗号化し,同一のパターンで検知されないようにする。
平成27年秋期 問8
Q:水飲み場型攻撃(Watering Hole Attack)の手口はどれか。
A:標的組織の従業員が頻繁にアクセスするWebサイトに攻撃コードを埋め込み,標的組織の従業員がアクセスしたときだけ攻撃が行われるようにする。
無線
平成31年春期 問18
Q:無線LANの隠れ端末問題の説明として,適切なものはどれか。
A:端末がアクセスポイントとは通信できるが,他の端末のキャリアを検出できない状況にあり,送信フレームが衝突を起こしやすくなる問題
DNS
平成29年秋期 問6
Q:DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
A:問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
平成29年春期 問6
Q:DNS水責め攻撃(ランダムサブドメイン攻撃)の手口と目的に関する記述のうち,適切なものはどれか。
A:オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。
平成28年春期 問2
Q:次の攻撃において,攻撃者がサービス不能にしようとしている標的はどれか。
〔攻撃〕
A社ドメイン配下のサブドメイン名を,ランダムに多数生成する。
(1)で生成したサブドメイン名に関する大量の問合せを,多数の第三者のDNSキャッシュサーバに分散して送信する。
(2)で送信する問合せの送信元IPアドレスは,問合せごとにランダムに設定して詐称する。
その他
平成27年秋期 問9
Q:不正が発生する際には"不正のトライアングル"の3要素全てが存在すると考えられている。"不正のトライアングル"の構成要素の説明のうち,適切なものはどれか。
A:"機会"とは,情報システムなどの技術や物理的な環境及び組織のルールなど,内部者による不正行為の実行を可能,又は容易にする環境の存在である。
平成27年春期 問3
Q:RLO(Right-to-Left Override)を利用した手口の説明はどれか。
A:文字の表示順を変える制御文字を利用し,ファイル名の拡張子を偽装する。