脅威系
■H25春AP
問38 暗号解読のための攻撃法のうち,ブルートフォース攻撃はどれか。
ア 与えられた一組の平文と暗号文に対し,総当たりで鍵を割り出す。
イ 暗号化関数の統計的な偏りを線形関数によって近似して解読する。
ウ 暗号化装置の動作を電磁波から解析することによって解読する。
エ 異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。
■H24秋AP
問40 完全性を脅かす攻撃はどれか。
ア Webページの改ざん
イ システム内に保管されているデータの持出しを目的とした不正コピー
ウ システムを過負荷状態にするDoS攻撃
エ 通信内容の盗聴
問41 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
攻撃 対策
ア SQLインジェクション SQL文の組立てに静的プレースホルダを使用する。
イ クロスサイトスクリプティング 任意の外部サイトのスタイルシートを取り込めるようにする。
ウ クロスサイトリクエストフォージェリ リクエストにGETメソッドを使用する。
エ セッションハイジャック 利用者ごとに固定のセッションIDを使用する。
■H24春AP
問42 Jis Q 27001では,情報セキュリティは三つの特性を維持するものとして特徴付けられている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。
ア 安全性 イ 可用性 ウ 効率性 工 保守性
■H24春AP
問43 Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
ア OSコマンドインジェクションを防ぐために, Webアプリケーションが発行するセッションIDを推測困難なものにする。
イ SQLインジェクションを防ぐために, Webアプリケーション内でデータベースへの問合せを作成する際にパイント機構を使用する。
ウ クロスサイトスクリプディングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
エ セッションハイジャックを防ぐために, Webアプリケーションからシェルを起動できないようにする。
■H23春
問41 DNSキャツシュポイズニングに分類される攻撃内容はどれか。
ア DNSサーバのソフトウェアのバージョン情報を入手して. DNSサーバのセキュリテイホールを特定する。
イ PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する。
ウ 攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
工 内部情報を入手するために, DNSサーバが保存するゾーン情報をまとめて転送させる。
問42 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
ア ソーシャルエンジニアリング ウ パスワードクラック
イ トロイの木馬 エ 踏み台攻撃
問43 あるコンピュータセンタでは,インシデントを六つのタイプに分類した。
Scan : プローブ,スキャン,そのほかの不審なアクセス
Abuse : サーバプログラムの機能を悪用した不正中継
Forged: 送信ヘッダを詐称した電子メールの配送
Intrusion : システムへの侵入
DoS : サービス運用妨害につながる攻撃
Other : その他
このとき,次の三つのインシデントに対するタイプの組合せのうち,適切なものはどれか。
インシデント1:ワームの攻撃が試みられた形跡があるが,侵入されていない。インシデント2:ネットワークの樋鞍による妨害を受けた。
インシデント3 : DoS 用の踏み台プログラムがシステムに設置されていた。
インシデント1 インシデント2 インシデント3
ア Abuse DoS Intrusion イ Abuse Forged DoS
ウ Scan DoS Intrusion 工 Scan Forged DoS
問44 ゼロデイ攻撃の特徴はどれか。
ア セキュリティパッチが提供される前に攻撃する。
イ 特定のサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。
ウ 特定のターゲットに対し,フィッシングメールを送信して不正サイトへ誘導する。工 不正中継が可能なメールサーバを見つけた後,それを踏み台にチェーンメールを大量に送信する。
■H25春AP
問38 暗号解読のための攻撃法のうち,ブルートフォース攻撃はどれか。
ア 与えられた一組の平文と暗号文に対し,総当たりで鍵を割り出す。
イ 暗号化関数の統計的な偏りを線形関数によって近似して解読する。
ウ 暗号化装置の動作を電磁波から解析することによって解読する。
エ 異なる二つの平文とそれぞれの暗号文の差分を観測して鍵を割り出す。
■H24秋AP
問40 完全性を脅かす攻撃はどれか。
ア Webページの改ざん
イ システム内に保管されているデータの持出しを目的とした不正コピー
ウ システムを過負荷状態にするDoS攻撃
エ 通信内容の盗聴
問41 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
攻撃 対策
ア SQLインジェクション SQL文の組立てに静的プレースホルダを使用する。
イ クロスサイトスクリプティング 任意の外部サイトのスタイルシートを取り込めるようにする。
ウ クロスサイトリクエストフォージェリ リクエストにGETメソッドを使用する。
エ セッションハイジャック 利用者ごとに固定のセッションIDを使用する。
■H24春AP
問42 Jis Q 27001では,情報セキュリティは三つの特性を維持するものとして特徴付けられている。それらのうちの二つは機密性と完全性である。残りの一つはどれか。
ア 安全性 イ 可用性 ウ 効率性 工 保守性
■H24春AP
問43 Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
ア OSコマンドインジェクションを防ぐために, Webアプリケーションが発行するセッションIDを推測困難なものにする。
イ SQLインジェクションを防ぐために, Webアプリケーション内でデータベースへの問合せを作成する際にパイント機構を使用する。
ウ クロスサイトスクリプディングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
エ セッションハイジャックを防ぐために, Webアプリケーションからシェルを起動できないようにする。
■H23春
問41 DNSキャツシュポイズニングに分類される攻撃内容はどれか。
ア DNSサーバのソフトウェアのバージョン情報を入手して. DNSサーバのセキュリテイホールを特定する。
イ PCが参照するDNSサーバに誤ったドメイン管理情報を注入して,偽装されたWebサーバにPCの利用者を誘導する。
ウ 攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
工 内部情報を入手するために, DNSサーバが保存するゾーン情報をまとめて転送させる。
問42 緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
ア ソーシャルエンジニアリング ウ パスワードクラック
イ トロイの木馬 エ 踏み台攻撃
問43 あるコンピュータセンタでは,インシデントを六つのタイプに分類した。
Scan : プローブ,スキャン,そのほかの不審なアクセス
Abuse : サーバプログラムの機能を悪用した不正中継
Forged: 送信ヘッダを詐称した電子メールの配送
Intrusion : システムへの侵入
DoS : サービス運用妨害につながる攻撃
Other : その他
このとき,次の三つのインシデントに対するタイプの組合せのうち,適切なものはどれか。
インシデント1:ワームの攻撃が試みられた形跡があるが,侵入されていない。インシデント2:ネットワークの樋鞍による妨害を受けた。
インシデント3 : DoS 用の踏み台プログラムがシステムに設置されていた。
インシデント1 インシデント2 インシデント3
ア Abuse DoS Intrusion イ Abuse Forged DoS
ウ Scan DoS Intrusion 工 Scan Forged DoS
問44 ゼロデイ攻撃の特徴はどれか。
ア セキュリティパッチが提供される前に攻撃する。
イ 特定のサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。
ウ 特定のターゲットに対し,フィッシングメールを送信して不正サイトへ誘導する。工 不正中継が可能なメールサーバを見つけた後,それを踏み台にチェーンメールを大量に送信する。
コメント