にしのクエスト2

情報処理技術者試験と資格学校講師の日常

f:id:koharuwest:20191106221322p:plain

まいにちSC 令和元年秋午後2問題解説 問13 問14 問15

IPAがらみのソフト名が笑えます。

f:id:koharuwest:20200202111826p:plain
情報処理安全確保支援士試験の令和元年秋午後2問題
を解いていきます。問題の解き方や考え方をなるべく
わかりやすく、解説してみる連載です。

※問題の引用についてはIPAのルールに則っております。

問13
マルチベクトル型DDoS攻撃に該当するものはどれ
か。

ア DNSリフレクタ攻撃によってDNSサービスを
  停止させ、複数のPCでの名前解決を妨害する。
イ Webサイトに対して、SYN Flood攻撃とHTTP
  POST Flood攻撃を同時に行う。
ウ 管理者用IDのパスワードを初期設定のままで利
  用している複数のIoT機器を感染させ、それら
  のIoT機器から、WebサイトにUDP Flood攻
  撃を行う。
エ ファイアウォールでのパケットの送信順序を不正
  に操作するパケットを複数送信することによって、
  ファイアウォールのCPUやメモリを枯渇させる。


問14
Webサイトにおいて、全てのWebページをTLS
で保護するよう設定する常時SSL/TLSのセキュリティ
上の効果はどれか。


ア WebサイトでのSQL組立て時にエスケープ処
  理が施され、SQLインジェクション攻撃による
  個人情報などの非公開情報の漏えいやデータベー
  スに蓄積された商品価格などの情報の改ざんを防
  止する。
イ Webサイトへのアクセスが人間によるものかど
  うかを確かめ、Webブラウザ以外の自動化され
  たWebクライアントによる大量のリクエストへ
  の応答を避ける。
ウ Webサイトへのブルートフォース攻撃によるロ
  グイン試行を検出してアカウントロックし、Web
  サイトへの不正ログインを防止する。
エ WebブラウザとWebサイトとの間における中
  間者攻撃による通信データの漏えい及び改ざんを
  防止し、サーバ証明書によって偽りのWebサイ
  トの見分けを容易にする。


問15
攻撃者に脆弱性に関する専門の知識がなくても、OS
やアプリケーションソフトウェアの脆弱性を悪用した
攻撃ができる複数のプログラムや管理機能を統合した
ものはどれか。


ア  Exploit Kit
イ  iLogScanner
ウ  MyJVN
エ  Remote Access Tool


 

 

 (解答と解説)

問13
マルチベクトル型DDoSなので、複数の手段を使っ
てサービスの停止を狙うDDoSでございます。

イ Webサイトに対して、SYN Flood攻撃とHTTP
  POST Flood攻撃を同時に行う。

問14
TLSは秘匿と改竄の防止です。


エ WebブラウザとWebサイトとの間における中
  間者攻撃による通信データの漏えい及び改ざんを
  防止し、サーバ証明書によって偽りのWebサイ
  トの見分けを容易にする。


問15
イとウはIPA関連のツールですう。


ア  Exploit Kit