H26 技術士(情報工学)情報ネットワーク II-1-3:パスワードリスト攻撃


(1)パスワードリスト攻撃とは
ITシステムの利用者の多くが、同じユーザIDと同じパスワードを複数のサービスで使いまわしていることを利用し、入手したパスワードデータを用いていろいろなシステムへの侵入を試みる攻撃方法である。そのため、パスワードリスト攻撃の対策としてはユーザID及びパスワードの使いまわしを避けることになる。
(2)パスワードリスト攻撃への対策
@サービス提供者
サービス提供者が行うこととしては、ユーザIDとして利用者が指定したり、利用者のメールアドレスをユーザIDとして使用するのではなく、システムがランダムにユーザIDを割当てるようにすることである。こうすることで、同じユーザが複数のITシステムで同じユーザIDを使いまわすことができなくなるため、パスワードリスト攻撃の対策として有効である。
A利用者
利用者が行う対策としては、利用者がユーザIDを指定するシステムですでに他のシステムで使用しているユーザIDは使わないようにすることと、パスワードもシステムごとに別のものを使用し、使いまわさないようにすることが有効である。先に書いたようにシステムによってはユーザIDとしてメールアドレスを使用するものがあるので、これらのシステムの利用を行うときはフリーのメールアドレスを新たに取得して使うくらいの慎重さが有効になってくる。


[Intermission]
すでに情報ネットワークでの受験は考えていませんが、記述問題の解答の練習として書いてみました。
この問題から考えると、情報セキュリティ関係の問題も情報ネットワークの範疇なのかなぁ…。世の中の流れからすると情報セキュリティという分野があってもいいような気がしますが…。



戻る 一覧へ