HOME»応用情報技術者試験掲示板»平成31年春期試験午後問1【情報セキュリティ】
投稿する

平成31年春期試験午後問1【情報セキュリティ】 [1600]

 管理人(No.1) 
平成31年春期試験午後問1【情報セキュリティ】の投稿をまとめたスレッドです。
2019.04.21 12:00
虹色の騎士さん(No.2) 
皆さんお疲れ様でした!
午後問題の大問1、解答はどう書かれましたか?参考にしたいので回答よろしくお願いします。
2019.04.21 21:58
daiさん(No.3) 
設問1
(1) a オ b ア
(2) ウ
設問2
(1) c ブルートフォース
(2) d パスワードリスト
設問3
(1) ハッシュ値から元の値を算出することができないため
(2) ア
設問4
他のサイトでろうえいしたユーザID、パスワードでログインが可能になるリスク
2019.04.21 22:06
ごーさん(No.4) 
前の投稿を見るといいですね。
2019.04.21 22:12
daiさん(No.5) 
どうでしょうか??

設問3(2)で私は「ア:Rテーブルの作成が難しくなるから」を選択しましたが、改めて問題を見てみると「イ:アカウント情報が搾取されてもソルトの値が不明だから」が正解だと思いました。

他にも何かあると思いますので教えてください!
2019.04.21 22:13
あろさん(No.6) 
設問3(2)はアとイで意見が割れてるようですね…。

私はアにしました。
イも悩んだのですが、ソルトはIDとハッシュ値とともにデータベースに登録されるため、
アカウント情報が窃取されたら、ソルトもバレちゃうのでは?と思ったんですよね…。
なのでイの「~ソルトの値も不明だから」は不適かな?と思った次第です。
2019.04.21 22:29
notkiotaさん(No.7) 
設問1
(1)a.ウ b.ア
(2)ウ

設問2
(1)c.総当たり d.パスワードリスト
(2)パスワードを一定数間違えた場合ロックする

設問3
(1)盗聴されても解読することが困難なため
(2)エ

設問4
パスワードリスト攻撃によって不正にログインされる

間違っているだろうなーって感じのところはありますが、こんな感じです。
2019.04.21 22:32
Rさん(No.8) 
この投稿は投稿者により削除されました。(2019.04.21 23:00)
2019.04.21 23:00
Rさん(No.9) 
この投稿は投稿者により削除されました。(2019.04.21 23:00)
2019.04.21 23:00
Rさん(No.10) 
■セキュリティ
設問1
(1)
a:ウ(ディジタル証明書)
b:ア(虹彩)

(2)ウ

設問2
(1)
c:総当たり(多分ブルートフォースはダメ)
d:パスワードリスト

(2)
パスワードを数回間違えたら利用停止する

設問3
(1)ハッシュ値から元のパスワードを復元出来ないため

(2)イ

設問4
パスワードリスト攻撃により不正アクセスされるリスク

2019.04.21 23:05
ごひーるさん(No.11) 
逆ってあるので、ブルートフォース攻撃が駄目って見方ですね、たしかにそれも言えそうです
プルートフォースだと、リバースプルートフォースですもんね
2019.04.21 23:39
質問さん(No.12) 
設問2(1)cですが、ブルートフォースではダメだという理由は何でしょうか。総当たりとブルートフォースは同義と認識していましたので。。。
2019.04.21 23:39
初受験さん(No.13) 
多分
逆ブルートフォース がおかしい 
逆総当たり ではないか ということでしょうね…
自分はブルートフォースと書いたので、心配です。
2019.04.21 23:51
ごひーるさん(No.14) 
問題文で、逆[c]という記載もあり、それも回答は充足すべき、という主張です。
逆総当たりとはいいますが、逆ブルートフォース攻撃とは言わないのでは?ということ。
上に書いたように、逆ブルートフォース攻撃のことをリバースブルートフォース攻撃と言うので、日本語でちゃんと考えるなら、総当たりのみを正解とする、という考えもありそうです
2019.04.21 23:52
ごひーるさん(No.15) 
自分はどっちにしろ、
"プ"ルートフォースと書いたので誤答ですが。
どちらでもいいといいですね。
2019.04.21 23:56
質問さん(No.16) 
ごひーるさん、ありがとうございます。
しかし、同義なのに何だかモヤモヤしますね。
問題作成の際に、両方通ずるように工夫したら良いのになと思ったり。
2019.04.22 00:04
まぢですかさん(No.17) 
逆ブルートフォースって言わないですか?
普通に通じる気がするんですが。
2019.04.22 07:14
あさきゆめみしさん(No.18) 
試験おつかれ様でした。
この問1のCに時間が5分も取られて時間配分がうまくいきませんでした。
普通この手の問題は答えが分かれるので選択になるはずなのですが。

さて  総当たりとブルートフォース  どちらも正解かもしれないというサイト
「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
逆総当たり攻撃 (reverse brute force attack)とは

と書かれています。

試験の帰り  満開の桜とふくろう(飼っている)を見ました。
結果は6月ですね。それまで何していようか?

2019.04.22 07:52
ふじさん(No.19) 
皆さんがおっしゃる通り、ブルートフォースは誤りです。
問題文が「逆」ではなく「リバース」となっていれば正解でしたが、今回の正解は総当たりのみです。

設問1のaはウ ディジタル証明書です。
(2)でaとbが適さない理由を問われているところに繋がります。
正解は「ウ 利用者に認証デバイス又は認証情報を配布する必要がある」ですが、ここで
配布する認証デバイス→bの虹彩認証をする機器
配布する認証情報→aのディジタル証明書
となります。
2019.04.22 13:15
うみさん(No.20) 
逆ブルートフォースが間違いだって言いだしたら
これは情報処理試験ではなくて、英語の通訳士かなんかの試験かよってツッコミを入れたくなります。
2019.04.22 14:29
そらさん(No.21) 
ブルートフォースを和訳したら総当たりで、リバースを和訳したら逆、
というだけの話。逆ブルートフォースでダメな理由が理解できない。
英語で話せば同じになります。
2019.04.22 16:06
そらさん(No.22) 
例えれば、標本化定理をサンプリング定理と言ったらダメで、
サンプリングシアラムじゃなきゃダメといってるようなものじゃないかい?
2019.04.22 16:10
notkiotaさん(No.23) 
この投稿は投稿者により削除されました。(2019.04.22 17:29)
2019.04.22 17:29
notkiotaさん(No.24) 
総当たりーブルートフォース
逆総当たりーリバースブルートフォース

やはり一般的にはこうではないでしょうか。

結局は採点をするIPAさん次第なので気長に待つしかなさそうです。
2019.04.22 17:30
しんいちさん(No.25) 
総あ(not当)たりと書いたんですが
ダメでしょうか?
2019.04.22 18:34
そらさん(No.26) 
ひらがながダメってことはさすがにないと思いますが。。。
英語表記のことも含めて、採点基準はipaが決めますので、6/21を待ちましょう。
2019.04.22 19:25
Rさん(No.27) 
応用情報技術者試験のシラバス
大分類3.技術要素
中分類11.情報セキュリティ

1.情報セキュリティ 
(3)攻撃手法

に「総当たり(ブルートフォース)攻撃」と「リバースブルートフォース攻撃」の定義がそれぞれあります。
IPAの定義に多分「逆ブルートフォース」がなさそうなんですよ。

ただ、繰り返し「多分」と言っているとおり、解答では許容される可能性は十分あります。あくまでも例ですし
ただ、用語の定義から考えるに「逆ブルートフォース」はいまのところないです。
2019.04.23 00:03
(=_=)さん(No.28) 
こればかりは神(IPA)のみぞ知るってやつかな・・・結果等を気長に待つしかあるまい・・・ちなみに私はブルートフォースと書いてしまった者の一人です。
2019.04.24 10:20
初受験さん(No.29) 
ブルートフォース攻撃には有効で、逆には効果がないものって、
パスワードの入力回数を制限する が正答だと思うのですが、
パスワードの可能性のあるパターンを増やす (単純に個数を増やすという意味で)
と書きました。 一応有効だとは思うのですが、結局解けちゃうので不正解ですか?
2019.04.22 06:59
Rさん(No.30) 
パターンを増やす
をどういう意図で書いたかは解らないですが、文字数を増やしても、解析はしづらくなりますが、総当たりならいつかは解けます。

問題の要点は、総当たりと逆総当たりを比較して逆総当たりには通用しない対策を答えるので、やはりパスワードの入力回数制限などの答えを書くべきですね。
2019.04.22 07:45
Wさん(No.31) 
確かに回数制限は正しそうな気がしました。
ですが認証の試行回数としてはIDとパスワードのセットで1回だと思いました。なので回数制限の場合どちらの対策にもなってしまう気がします。
(僕はパスワードの文字数を長くすると解答しました。)
自信はないのですが一意見として投稿させていただきます。
2019.04.22 15:34
PTさん(No.32) 
私もパスワードを複雑にする、というようなことを書きました。
IDでもパスワードでも、何度も試行できるならそれぞれ総当たり攻撃できると思ったので、パスワードだけ制限してIDは無制限にすると、パスワードへの総当たり攻撃にだけは有効、というのは流石に会話になってないし問題の対策の本質から外れている気がします。
パスワードの強度を上げることは確実に効果のある対策として広く知られていますから、こっちだと思うんですけどね。交番2に対しては効果が期待できないような手法じゃないといけないので、ログイン制限はマズいと思います。少なくともECサイトでIDとパスの入力タイミングが異なる会社を知りません。
2019.04.22 18:22
どうでしょう?さん(No.33) 
「同一IDでのパスワード入力回数に制限を掛ける」としてみたんですけどダメでしょうか。
2019.04.22 18:39
非従事者さん(No.34) 
>PTさん
それだと項番2に対しても有効となってしまうと思います
逆総当たり攻撃は例えば"password"のようなパスワードを設定しているIDを総当たりで見つけ出すもので、パスワード自体の強度を上げると攻撃時に固定するパスワードの候補が複雑で膨大になり逆総当たりに対しても効果が上がってしまうと思います
パスワードの入力回数を制限した場合は、固定IDに対して総当たりができない一方固定パスワードに対しては総当たりができるので項番1だけに有効と言えるでしょう
実務上聞いたことがないというのは設問状況がかなり初歩的で実際では当然対策されているということではないでしょうか
2019.04.22 18:58
Hさん(No.35) 
リバースブルートフォース攻撃を防ぐには、ある程度長く複雑なパスワードを設定したりが有効だから、パスワード制限が正解だね。
パスワードを複雑にするのってどっちにも有効だし、問題の意図と異なると思います。
(有効と効果が期待できないのを書くのが問題の意図)
ちなみにパスワード制限した場合、リバースブルートフォース攻撃の場合、パスワード固定してID変えてログインできるまで試せるから有効でないって事なんだが。
2019.04.22 19:10
PTさん(No.36) 
項番2のケースでは、パスワードを固定するとあるので、パスワードは既に漏洩しているのではないでしょうか?
2019.04.22 19:14
Hさん(No.37) 
>パスワードは既に漏洩しているのではないでしょうか?
違いますね。
例えば、PWを適当な4けたとし、0000に対しIDを総当りで求める。
0000が終わったら0001にしてIDを総当りで求めるとを繰り返します。
なのでパスワードは漏洩してませんね、しいて言うならパスワードっぽいやつに固定するです。
2019.04.22 19:25
PTさん(No.38) 
皆さん、ありがとうございます。wikipediaを見ると、確かにパスワードの強度を上げることは逆総当たり攻撃にも有効なようです…もう泣きそう…
2019.04.22 19:45
ぱーさん(No.39) 
問1の設問3
得たハッシュ値から元のパスワードに戻せない
と書いたのですが×ですか?
ハッシュ化の特性を踏まえ
と書いてあったので、一方向関数であるということを言いたかったのですが、字数足りませんでした…

設問4を
他のサイトで入手したログイン情報でM社ECサイトに不正ログインされる

と書いたのも、漏えいという文字がないから×ですか?

問2

設問1 (2) の b って、低価格となっていますが、ロープライスはおっけーですか?

また、設問3を
所有企業から土地と建物を借り、初期投資を無くした
と書いたのですが、無くした は×ですか?

設問5を
予約が多いところには、多くのスタッフを配置する
と書いたのですが、多いことにしか触れてないから×ですか?

問7 設問3を
人検出タスクから6回連続"未検出"を受信する と書いたのですが、部分点もなしで×ですか?3秒と勘違いしました…

問8 設問5を
表示の遅延を無くし、利用者が見やすくする
と書いたのですが、何の表示の遅延か書いてないので×ですか?

初受験で、記述がどれくらい厳しいのか検討つかなくて不安です…

どなたか、アドバイスお願いします!
こんなに神経質にならなくてもいいものでしょうか?
2019.04.23 17:11
さん(No.40) 
心配なのはわかりますが、
2ヶ月後を待ちましょう。
2019.04.23 17:15
なななさん(No.41) 
この投稿は投稿者により削除されました。(2019.04.23 17:50)
2019.04.23 17:50
たーぶんへいきさん(No.42) 

?
?

わからん
?
わからん

個人的な意見ですが
2019.04.23 18:04
たーぶんへいきさん(No.43) 
ばつが?になってしまった……
2019.04.23 18:05
ぱーさん(No.44) 
けっこう厳しい感じなんですか?
内容自体ある程度当たってても、完璧に答えなきゃ×になることけっこう多いんですね…
2019.04.23 18:33
たーぶんへいきさん(No.45) 
例えばだけど入手って流出や漏洩と違って不正出ない可能性もあるんだよね
忌みが一意に捉えられないものは駄目だと思ったほうが良い、というのが私の考えです
2019.04.23 18:46
たーぶんへいきさん(No.46) 
誤字ばっかでごめん
2019.04.23 18:46
ぱーさん(No.47) 
たーぶんへいきさん
詳しくありがとうございます。

どんな方法であれ、使い回しによって別サイトで使っていたログイン情報で
(この問題は他のサイトから流出したのが主だとは思いますが)
M社ECサイトに不正にログインされる
のがまずい理由だと思ったのですが、やっぱり流出したものに限られるんですかね?
問2設問1(2)bは、低価格 と ロープライス は同じ意味だと思うのですが、どういう判断で×に至ったか教えていただけますか?

また、わからん も含めて×にして、TACの配点で計算したら67だったんですが、諦めた方いいですかね?
2019.04.23 19:09
たーぶんへいきさん(No.48) 
気休めにしかならないけど、厳しくつけてその点数なら大丈夫じゃないかな
と入っても配点もあれで確定したわけではないのでなんとも言えませんね

ロープライスの問題バツにしてましたか
すいませんそれは○の間違えですね
2019.04.23 19:14
ぱーさん(No.49) 
配点って実際あんなに甘々なんですかね…
記述5点記号1点とかだと思ってました
記述って部分点あったりするんですかね?
ロープライス○でしたか!
いろいろとありがとうございます!
2019.04.23 19:24
スピカさん(No.50) 
>ぱーさん(No.1)
一方向関数であるということを言いたかったのです~ですが、
「一方向性の性質によりパスワード割出しが困難だから」(24文字)と回答しました。
2019.04.23 19:38
ぱーさん(No.51) 
スピカさんの解答のように解答できれば完璧なんですが、初受験で焦ってた自分にとっては上の解答が精一杯でした…
×になりますかね?
2019.04.23 19:40
一点足りないおばけさん(No.52) 
記述の点数は、合格者の割合が3割程度になるように調整されます。
ですので難しくなれば甘く、簡単になれば厳しく採点されます。
2019.04.23 20:25
スピカさん(No.53) 
>ぱーさん(No.13)
大原版およびTAC版とも
ハッシュ値から元のパスワードに戻すことは困難である
でしたが、ハッシュ化の特性を踏まえた上で結論だけを示してますね。
結論部分があれば〇だと、私は思います。

どんな特性かの明示をした上で結論を述べるもありだと思います。
2019.04.23 21:12
スピカさん(No.54) 
> 一点足りないおばけさん(No.14)
貴重な情報、どうもありがとうございます。
2019.04.23 21:14
ぱーさん(No.55) 
>スピカさん(No.13)

丁寧な解説ありがとうございます。
しかし、大原版もTAC版も、

元のパスワードが推測困難である

といった内容だと思うのですが、それって合ってるのでしょうか?
答えは、 ハッシュ化の特性を踏まえて なので、
ハッシュ関数は一方向関数だから、元に戻せない(ハッシュ値→パスワードにはできない)
ということを述べなければいけなくないですか?
推測困難って的はずれではないですかね?
2019.04.23 23:56
たーぶんへいきさん(No.56) 
ハッシュ値は復元の言葉がないとだめなんじゃないかなーと個人的には思ってる
2019.04.24 00:28
さん(No.57) 
「盗まれても元の値を知られないから」と解答したのですが、知られないからではなく「知ることが困難だから」の方が正しいですよね?不正解になりそうですか?
あと、「ハッシュ値が盗聴されても」という主語は必要ですか?
字数と語彙力がなさすぎて、、
2019.04.24 07:44
たーぶんへいきさん(No.58) 
キーワードとしては
?ハッシュ値
?復元(元のパスワードを知ることができるの意)(復号ではない)
?パスワード
?困難(パスワードを知ることができない)
の4つが入っていればいいと思いますよ
2019.04.24 08:33
落ちたくない、さん(No.59) 
問一  設問2  c ブルートフォース  ⇒総当たり
      設問3  パスワードの入力回数を決める
      設問4  他サイトから入手されたパスワードからの不正ログインを防げない

このように書いたのですが、模範解答通りでなければ厳しいでしょうか?
2019.04.23 22:45
たーぶんへいきさん(No.60) 
にとさんはおっけーではないかな!
よんはわかんないや
2019.04.24 00:24
fugaさん(No.61) 
意味が一緒なら通すでしょ。
書き方がどうであれ、ちゃんと技術の内容を理解していると思えた場合なら正解とするんじゃないかな。
自分が採点者なら、あなたのその回答は全部○にするね。
2019.04.24 12:28
ちきまるさん(No.62) 
「ハッシュ値からパスワードを復号することが困難だから」と記述したのですが、復号ではなく推測と書かないとダメでしょうか?
2019.04.24 12:25
fugaさん(No.63) 
一緒でしょ。
ハッシュが一方向関数であることがわかっているかを問うているのだと思うよ。
2019.04.24 12:30
太郎さん(No.64) 
むしろ、復号が一番妥当だと思うよ
2019.04.24 12:33
ちろりあんさん(No.65) 
ハッシュ値は暗号ではないので
複合という表現はおかしい、と意地悪を言ってみたり
2019.04.24 13:22
ちきまるさん(No.66) 
ありがとうございます。いろいろ調べていくと復号という表現はおかしいという意見もあって不安になっていました。これで正解だったらいいんですけどね…
2019.04.24 15:06
太郎さん(No.67) 
アシストの解答は大原やTACと異なりイですが、やはり
イが正解ですかね?
2019.04.24 12:35
ちろりあんさん(No.68) 
ア(Rテーブルの作成が難しくなるから)
で正解だと思います。

ソルトをクラッカーが知っている場合と知らない場合で
変わってくるのは、Rテーブルの作成の難易度だからです。

ソルトを知っていたとしても、そこから同じハッシュ値をただちに
逆算できるわけではないので
2019.04.24 13:19
初心者さん(No.69) 
僕はイにしましたが、でもデータベースにハッシュ値とソルトを登録と書いてあったのでソルトも知られてしまうなと、だからア?
イで合ってほしいです。
2019.04.24 15:20
さん(No.70) 
H30春の基本情報午後のセキュリティの問題がソルトを扱ってますね。
それも参考になるんじゃないでしょうか。
2019.04.24 15:50
さん(No.71) 
大手予備校二社と違う解答を後出しでするくらいだから、イに根拠があるのかな..
アシストには名誉にかけて、イも正解だと主張してほしいですね。
2019.04.24 18:01
さん(No.72) 
「正しいものを選べ」でなく「最も適切なものを選べ」
これを利用して、仮に「イ」も間違ってはいない
という解釈が出てきても、「ア」を正解としてくるでしょうね
2019.04.24 18:05
けんたろうさん(No.73) 
パスワードの入力回数制限では不正解でしょうか?
正確にいうと謝った入力回数の制限ですよね。
2019.04.25 18:14
NKTIDKSGさん(No.74) 
私は別にその解答でもいいと思いますよ。
私なんて「パスワードの試行回数でロックする。」って書きましたから(笑)
2019.04.25 18:50
たーぶんへいきさん(No.75) 
スレ主さんとほとんど同じ回答にしました。
ただ同一IDの、と入っていないのが個人的には心配です。文字数的に入れるのが難しかった、…(語彙力がない)
2019.04.26 07:53

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop