|
|
|
2014年04月14日
カテゴリ:情報処理技術者試験
ブログの更新を兼ねて先日IPAが発表した「2014年の10大脅威」をまとめてみます。
 まず今回は1位から3位まで。自分なりに気になる用語や気になるポイントを抜き出しました。 1位:標的型メールを用いた組織へのスパイ・諜報活動 ※まず標的型メール、と言う点に注意。 (H24秋 午後1問3、H25秋 午後2問1の過去問に類題あり) 問題例:なぜ長期にわたりその状態が続いたのか 解答例:「攻撃を受けているのに気付きにくいから」「攻撃が見えにくいから」 再侵入の特徴:一度開設されたバックドアを使い、執拗に情報を盗み取っていく。 ウイルス対策に加え留意すべき点を述べよ:侵入後にシステム内部を探索させないこと。 2位:不正ログイン・不正利用 解答例:複数のパスワードを管理することは ユーザーには大きな負担になっているから。 解答例:パスワードの使い回しをしていたから。 ◎サービス提供側の対策 パスワードのソルト付きハッシュ化、同一ホストからの連続ログインの拒否等。 ◎重要性の高いサービスでは、、、 ワンタイムパスワード、認証トークン等の認証方式の採用。 3 位:ウェブサイトの改ざん なぜ改ざんに気付かなかったのか 解答例:知らぬ間にウイルスをダウンロードしていたから。 解答例:改ざん後もWebサイトの見た目に変化がなくかつ正規のWebサイトだったから。 <代表的な攻撃の手口> ・管理端末からログイン情報窃取 ・FTP、SSH 等のアカウントハッキング→パスワード推測、辞書攻撃等に弱い ・コンテンツ管理システム(CMS)の脆弱性悪用 ・Webアプリケーションの脆弱性悪用 <対策/対応> ・セキュアなサーバーの設定 ・アカウント・パスワードの管理 ・ソフトウェアの定期的な更新 ・ウェブアプリケーションの脆弱性対策 ※ウイルス感染の踏み台にも悪用される チェックすべきワード:水飲み場攻撃  にほんブログ村 お気に入りの記事を「いいね!」で応援しよう
最終更新日
2014年04月15日 22時32分47秒
コメント(0) | コメントを書く
[情報処理技術者試験] カテゴリの最新記事
|
