マスカレード久しぶりに聞いたなあ
#KEEP LEARNING #STAY HOME
情報処理技術者試験 セキュリティマネジメント平成31
年春午前問題(全50問)を解いていきます。
※レベルとしては応用情報のセキュリティくらいはあると
思います。結構難しいですよ。
問題の解き方や考え方をわかりやすく、解説してみる
連載です。
※問題の引用についてはIPAのルールを遵守しています。
問16
特定のサービスやシステムから流出した認証情報を攻
撃者が用いて、認証情報を複数のサービスやシステム
で使い回している利用者のアカウントへのログインを
試みる攻撃はどれか。
ア パスワードリスト攻撃
イ ブルートフォース攻撃
ウ リバースブルートフォース攻撃
エ レインボー攻撃
問17
社内PCからインターネットに通信するとき、パケッ
ト中にある社内PCのプライベートIPアドレスとポ
ート番号の組合せを、ファイアウォールのインターネ
ット側のIPアドレスとポート番号の組合せに変換す
ることによって、インターネットからは分からないよ
うに社内PCのプライベートIPアドレスを隠蔽する
ことが可能なものはどれか。
ア BGP
イ IPマスカレード
ウ OSPF
エ フラグメンテーション
問18
ペネトレーションテストに該当するものはどれか。
ア 検査対象の実行プログラムの設計書、ソースコー
ドに着目し、開発プロセスの各工程にセキュリテ
ィ上の問題がないかどうかをツールや目視で確認
する。
イ 公開Webサーバの各コンテンツファイルのハッ
シュ値を管理し、定期的に各ファイルから生成し
たハッシュ値と一致するかどうかを確認する。
ウ 公開Webサーバや組織のネットワークの脆弱性
を探索し、サーバに実際に侵入できるかどうかを
確認する。
エ 内部ネットワークのサーバやネットワーク機器の
IPFIX情報から、各PCの通信に異常な振る
舞いがないかどうかを確認する。
(解答と解説)
問16
特定のサービスやシステムから流出した認証情報を攻
撃者が用い
ア パスワードリスト攻撃
問17
久しぶりに聞いた気がしますNATのことですが。
イ IPマスカレード
問18
ペネトレーションテストは実際にネットワークに侵入
を試みてテストします。
ウ 公開Webサーバや組織のネットワークの脆弱性
を探索し、サーバに実際に侵入できるかどうかを
確認する。