- トップページ
- 応用情報技術者
- 平成23年度特別問題
- 平成23年度特別解答・解説
平成23年度特別解答
問題41
DNSキャッシュポイズニングに分類される攻撃内容はどれか。
| ア | DNSサーバのソフトウェアのバージョン情報を入手して、DNSサーバのセキュリティホールを特定する。 |
| イ | PCが参照するDNSサーバに誤ったドメイン管理情報を注入して、偽装されたWebサーバにPCの利用者を誘導する。 |
| ウ | 攻撃対象のサービスを妨害するために、攻撃者がDNSサーバを踏み台に利用して再帰的な問合せを大量に行う。 |
| エ | 内部情報を入手するために、DNSサーバが存在するゾーン情報をまとめて転送させる |
解答:イ
<解説>
DNSキャッシュポイズニングとは、DNSサービスを提供しているサーバ(DNSサーバ)に偽の情報を覚えこませる攻撃手法である。
攻撃が成功すると、DNSサーバは覚えた偽の情報を提供してしまうことになる。このため、ユーザは正しいホスト名のWebサーバに接続しているつもりでも、提供された偽の情報により、攻撃者が罠をはったWebサーバに誘導されてしまうことになる。
| ア | × | バナーチェックの説明である。 |
| イ | ○ | DNSキャッシュポイズニングの説明である。 |
| ウ | × | DDoS攻撃(Distributed Denial of Service attack) の説明である。 |
| エ | × | DNSキャッシュポイズニングとは関係がない。 |
問題42
緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は、どれに分類されるか。
| ア | ソーシャルエンジニアリング |
| イ | トロイの木馬 |
| ウ | パスワードクラック |
| エ | 踏み台攻撃 |
解答:ア
<解説>
| ア | ○ | ソーシャルエンジニアリングは、物理的手段によって、IDやパスワードなどの情報を獲得する行為。 具体的には、電話でユーザーになりすましてパスワードを聞き出す行為などを指す。 |
| イ | × | トロイの木馬は、一見正当なプログラムを装っている不正なプログラム(バックドア機能などを持つ)。広義のウイルスに含まれる。 |
| ウ | × | パスワードクラックは、他人のパスワードを不正に暴くことである。特にコンピュータの解析によって他人のパスワードを暴く行為を指す。 |
| エ | × | 踏み台攻撃は、セキュリティ対策の甘いサイトに不正侵入し、他サイトの攻撃の中継サイトとして利用することである。 |
問題43
あるコンピュータセンタでは、インシデントを六つのタイプに分類した。
| Scan | : | プローブ、スキャン、そのほかの不審なアクセス | |
| Abuse | : | サーバプログラムの機能を悪用した不正中継 | |
| Forged | : | 送信ヘッダを詐称した電子メールの配送 | |
| Intrusion | : | システムへの侵入 | |
| DoS | : | サービス運用妨害につながる攻撃 | |
| Other | : | その他 |
このとき、次の三つのインシデントに対するタイプの組合せのうち、適切なものはどれか。
| インシデント1 | : | ワーム攻撃が試みられた形跡があるが、侵入されていない。 | |
| インシデント2 | : | ネットワークの輻輳(ふくそう)による妨害を受けた。 | |
| インシデント3 | : | DoS用の踏み台プログラムがシステムに設置されていた。 |
解答:ウ
<解説>
| インシデント1 | : | ワーム攻撃が試みられた形跡があるのでセキュリティホールを探して不審なアクセス があったと考えられる。 ⇒Scanに相当する。 |
|
| インシデント2 | : | 輻輳とはアクセスが一箇所に集中することである。輻輳が起きているので、Dos攻撃を受けたと考えられる。 ⇒Dosに相当する。 |
|
| インシデント3 | : | DoS用の踏み台プログラムがシステムに設置されているので、システムへの不正侵入があったと考えられる。 ⇒Intrusionに相当する。 |
したがって、ウが正解である。
問題44
ゼロデイ攻撃の特徴はどれか。
| ア | セキュリティパッチが提供される前に攻撃する。 |
| イ | 特定のサイトに対し、日時を決めて、複数台のPCから同時に攻撃する。 |
| ウ | 特定のターゲットに対し、フィッシングメールを送信して不正サイトへ誘導する。 |
| エ | 不正中継が可能なメールサーバを見つけた後、それを踏み台にチェーンメールを大量に送信する。 |
解答:ア
<解説>
ゼロデイ攻撃とは、OSやアプリケーションのセキュリティ・ホールを修正するパッチが提供されるより前に実際にそのホールを突いて攻撃が行われたり悪用する不正プログラムが出現している状態のことである。
| ア | ○ | ゼロデイ攻撃の特徴である。 |
| イ | × | DDoS(Distributed Denial of Service attack)攻撃の特徴である。 |
| ウ | × | フィッシングの特徴である |
| エ | × | 踏み台攻撃の特徴である |
問題45
図は“顧客が商品を注文する"を表現したUMLのクラス図である。“顧客が複数の商品をまとめて注文する"を表現したクラス図はどれか。ここで、“注文明細"は一つの注文に含まれる1種類の商品に対応し、“注文ヘッダ"は複数の“注文明細"を束ねた一つの注文に対応する。
解答:ア
<解説>
| ア | ○ | 正しい。 |
| イ | × | 黒ひし形が注文明細側にあるので誤りである。 |
| ウ | × | 注文明細が顧客と関係しているので誤りである。 |
| エ | × | 黒ひし形が注文明細側にあるので誤りである。 |
お問い合わせ
