問5 サイドチャネル攻撃の説明はどれか。
ア 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電力など)やエラーメッセージから、攻撃対象の機密情報を得る。
イ 企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり、オフィスの紙ゴミの中から不用意に捨てられた機密情報の印刷物を探し出す。
ウ 通信を行う二者の間に割り込んで、両者が交換する情報を自分のものとすり替えることによって、気づかれることなく盗聴する。
エ データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって、データベースを改ざんする。
正解 ア
解説
攻撃手法についての問題です。
ア 正解
サイドチャネル攻撃の説明です。
サイドチャネル攻撃とは、暗号を実装した装置にパスワード等を与えた時にかかる処理時間、消費電力などを観測し、より短い時間で暗号やパスワードを解読する攻撃方法です。
正しいパスワードに近づくほど消費電力や処理時間が増えるような装置では、簡単にパスワードを破られてしまいます。
エラーメッセージについてはあまり聞きませんが気にしないでおきましょう。
イ 不正解
ゴミ箱あさり(スカベンジング scavenging)と呼ばれる、一般的なソーシャルエンジニアリングの攻撃手法の説明です。
近年では、ゴミからの情報流出を懸念して紙ゴミや光学ディスクはシュレッダーを通して、ハードディスクは専用の装置で穴を開けて中のディスクを読み込み不可能にするなどの対策が取られています。
ウ 不正解
中間者攻撃(man-in-the-middle attack)マンインザミドル攻撃の説明です。
中間者攻撃を防ぐには、共通鍵基盤、秘密鍵やパスワードによる暗号化などが有効です。
エ 不正解
SQLインジェクションの説明です。
SQLインジェクションを防ぐには、入力文字のサニタイジングや、プレースホルダの活用が有効です。
最終更新:2013年09月03日 00:32
