IPAがらみのソフト名が笑えます。
情報処理安全確保支援士試験の令和元年秋午後2問題
を解いていきます。問題の解き方や考え方をなるべく
わかりやすく、解説してみる連載です。
※問題の引用についてはIPAのルールに則っております。
問13
マルチベクトル型DDoS攻撃に該当するものはどれ
か。
ア DNSリフレクタ攻撃によってDNSサービスを
停止させ、複数のPCでの名前解決を妨害する。
イ Webサイトに対して、SYN Flood攻撃とHTTP
POST Flood攻撃を同時に行う。
ウ 管理者用IDのパスワードを初期設定のままで利
用している複数のIoT機器を感染させ、それら
のIoT機器から、WebサイトにUDP Flood攻
撃を行う。
エ ファイアウォールでのパケットの送信順序を不正
に操作するパケットを複数送信することによって、
ファイアウォールのCPUやメモリを枯渇させる。
問14
Webサイトにおいて、全てのWebページをTLS
で保護するよう設定する常時SSL/TLSのセキュリティ
上の効果はどれか。
ア WebサイトでのSQL組立て時にエスケープ処
理が施され、SQLインジェクション攻撃による
個人情報などの非公開情報の漏えいやデータベー
スに蓄積された商品価格などの情報の改ざんを防
止する。
イ Webサイトへのアクセスが人間によるものかど
うかを確かめ、Webブラウザ以外の自動化され
たWebクライアントによる大量のリクエストへ
の応答を避ける。
ウ Webサイトへのブルートフォース攻撃によるロ
グイン試行を検出してアカウントロックし、Web
サイトへの不正ログインを防止する。
エ WebブラウザとWebサイトとの間における中
間者攻撃による通信データの漏えい及び改ざんを
防止し、サーバ証明書によって偽りのWebサイ
トの見分けを容易にする。
問15
攻撃者に脆弱性に関する専門の知識がなくても、OS
やアプリケーションソフトウェアの脆弱性を悪用した
攻撃ができる複数のプログラムや管理機能を統合した
ものはどれか。
ア Exploit Kit
イ iLogScanner
ウ MyJVN
エ Remote Access Tool
(解答と解説)
問13
マルチベクトル型DDoSなので、複数の手段を使っ
てサービスの停止を狙うDDoSでございます。
イ Webサイトに対して、SYN Flood攻撃とHTTP
POST Flood攻撃を同時に行う。
問14
TLSは秘匿と改竄の防止です。
エ WebブラウザとWebサイトとの間における中
間者攻撃による通信データの漏えい及び改ざんを
防止し、サーバ証明書によって偽りのWebサイ
トの見分けを容易にする。
問15
イとウはIPA関連のツールですう。
ア Exploit Kit
