H28春AP午前

問45 Man-in-the-Browser攻撃に該当するものはどれか。

ア DNSサーバのキャッシュを不正に書き換えて,インターネットバンキングに見せかけた偽サイトをWebブラウザに表示させる。
イ PCに侵入したマルウェアが,利用者のインターネットバンキングへのログインを検知して,Webブラウザから送信される振込先などのデータを改ざんする。
ウ インターネットバンキングから送信されたように見せかけた電子メールに偽サイトのURLを記載しておき,その偽サイトに接続させて,Webブラウザから口座番号やクレジットカード番号を入力させることで情報を盗み出す。
エ インターネットバンキングの正規サイトに見せかけた中継サイトに接続させ,Webブラウザから入力された利用者IDとパスワードを正規サイトに転送し,利用者になりすましてログインする。

正解は、イです。

H27秋AP午前

問36 クロスサイトスクリプディングの手口に該当するものはどれか。

ア 攻撃者が,スクリプトを用いてWebサイトのOSコマンドを呼び出し,任意のファイルの読出しや変更・削除などの不正操作をする。
イ 攻撃者が,スクリプトを用いて特定のPCへ大量に接続要求を送り出し,通信機能を停止させる。
ウ 攻撃者が用意したスクリプトでWebサイトのサービスポートに順次アクセスし,各ポートに対応するサービスに存在するセキュリティ上の弱点を探し出す。
エ 攻撃者が用意したスクリプトを,閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み,閲覧者のWebブラウザ上でスクリプトを実行させる。

正解は、エです。

問42 ゼロデイ攻撃の特徴はどれか。

ア セキュリティパッチが提供される前にパッチが対象とする脆弱性を攻撃する。
イ 特定のWebサイトに対し,日時を決めて,複数台のPCから同時に攻撃する。
ウ 特定のターゲットに対し,フィッシングメールを送信して不正サイトへ誘導する。
エ 不正中継が可能なメールサーバを見つけた後,それを踏み台にチェーンメールを大量に送信する。 

正解は、アです。

問44 ブルートフォース攻撃に該当するものはどれか。

ア WebブラウザとWebサーバの間の通信で,認証が成功してセッションが開始されているときに,Cookieなどのセッション情報を盗む。
イ 可能性がある文字のあらゆる組合せのパスワードでログインを試みる。
ウ コンピュータへのキー入力を全て記録して外部に送信する。
エ 盗聴者が正当な利用者のログインシーケンスをそのまま記録してサーバに送信する。

正解は、イです。

H27春AP午前

問37 DNSキャッシュポイズニングに分類される攻撃内容はどれか。

ア DNSサーバのソフトウェアのバージョン情報を入手して,DNSサーバのセキュリテイホールを特定する。
イ PCが参照するDNSサーバに偽のドメイン情報を注入して,偽装されたサーバにPCの利用者を誘導する。
ウ 攻撃対象のサービスを妨害するために,攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。
エ 内部情報を入手するために,DNSサーバが保存するゾーン情報をまとめて転送させる。

正解は、イです。  

問39 パスワードリスト攻撃に該当するものはどれか。

ア 一般的な単語や人名からパスワードのリストを作成し,インターネットバンキングヘのログインを試行する。
イ 想定され得るパスワードとそのハッシュ値との対のリストを用いて,入手したハッシュ値からパスワードを効率的に解析する。
ウ どこかのWebサイトから流出した利用者IDとパスワードのリストを用いて,他のWebサイトに対してログインを試行する。
エ ピクチャパスワードの入力を録画してリスト化しておき,それを利用することでタブレット端末へのログインを試行する。

正解は、ウです。   

問43 サーバにバックドアを作り,サーバ内で侵入の痕跡を隠蔽するなどの機能がパッケージ化された不正なプログラムやツールはどれか。

ア RFID
イ rootkit
ウ TKIP
エ web beacon

正解は、イです。  

問46 ディレクトリトラバーサル攻撃はどれか。

ア OSの操作コマンドを利用するアプリケーションに対して,攻撃者が,OSのディレクトリ作成コマンドを渡して実行する。
イ SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して,攻撃者が,任意のSQL文を渡して実行する。
ウ シングルサインオンを提供するディレクトリサービスに対して,攻撃者が,不正に入手した認証情報を用いてログインし,複数のアプリケーションを不正使用する。
エ 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して,攻撃者が,上位のディレクトリを意味する文字列を入力して,非公開のファイルにアクセスする。

正解は、エです。

H26秋AP午前
 
問35 APT(Advanced Persistent Threats)の説明はどれか。

ア 攻撃者はDoS攻撃及びDDoS攻撃を繰り返し組み合わせて,長期間にわたり特定組織の業務を妨害する。
イ 攻撃者は興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
ウ 攻撃者は特定の目的をもち,標的となる組織の防御策に応じて複数の手法を組み合わせ,気付かれないよう執鉱に攻撃を繰り返す。
エ 攻撃者は不特定多数への感染を目的として,複数の攻撃方法を組み合わせたマルウェアを継続的にばらまく。

正解は、ウです。  
  
問39 企業のDMZ上で1台のDNSサーバを,インターネット公開用と,社内のPC,サーバからの名前解決の問合せに対応する社内用とで共用している。このDNSサーバが,DNSキャッシュポイズニングの被害を受けた結果,直接引き起こされ得る現象はどれか。

ア DNSサーバのハードディスク上に定義されているDNSサーハ名が書き換わり,外部からの参照者が,DNSサーバに接続できなくなる。
イ DNSサーバのメモリ上にワームが常駐し,DNS参照元に対して不正プログラムを送り込む。
ウ 社内の利用者が,インターネット上の特定のWebサーバを参照する場合に,本来とは異なるWebサーバに誘導される。
エ 社内の利用者間の電子メールについて,宛先メールアドレスが書き換えられ,送受信ができなくなる。


正解は、ウです。

H26秋AP午前

問40 Webアプリケーションにおけるセキュリティ上の脅威と対策の適切な組合せはどれか。

ア OSコマンドインジェクションを防ぐために,Webアプリケーションが発行するセッションIDを推測困難なものにする。
イ SQLインジェクションを防ぐために,Webアプリケーション内でデータベースへの問合せを作成する際にパイント機構を使用する。
ウ クロスサイトスクリプディングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
エ セッションハイジャックを防ぐために,Webアプリケーションからシェルを起動できないようにする。

正解は、イです。 

H25秋AP午前

問42 クロスサイトスクリプディングの手口はどれか。

ア Webアプリケーションに用意された入力フィールドに,悪意のあるJavaScriptコードを含んだデータを入力する。
イ インターネットなどのネットワークを通じてサーバに不正にアクセスしたり,データの改ざん・破壊を行ったりする。
ウ 大量のデータをWebアプリケーションに送ることによって,用意されたバッファ領域をあふれさせる。
エ パス名を推定することによって,本来は認証された後にしかアクセスが許可されていないページに直接ジャンプする。

正解は、アです。  
 
問44 サーバヘのログイン時に用いるパスワードを不正に取得しようとする攻撃とその対策の組合せのうち,適切なものはどれか。
170829_14

正解は、イです。
詳細は以下で解説。
http://sc.seeeko.com/archives/3857127.html