【登録セキスペ5問】サイドチャネル攻撃(情報処理安全確保支援士試験)
このNoteでは、SC10回分から「サイドチャネル攻撃」を搔き集めてまとめました。
AMII対策が主体で、午後問題にはあまり絡みません。
だからこそ、ここで一発粉砕しておきましょう。
良く出る用語順、午後問題で使える概念も添えておきました。
私は情報安全確保支援士(登録セキスペ)の午後II97点で独学合格しました。IP, FE, AP, NW, DB, ESも全て独学。
このNoteは、独学経験とIT専門学校で教えた実績を基に作成しています。私の対策授業もこんな感じ。
それでは始めましょう!
\私がお世話になったテキスト/
\私の3ヶ月の学習履歴/
サイドチャネル攻撃とは
サイドチャネル攻撃とは、機器から物理量を測定して内部の仕組みを探る攻撃です。暗号化をする機器なら暗号アルゴリズムの特定などを試みます。
測定する物理量や手法によって更に細かく分類されます。
ディスプレイやケーブルからの電磁波:テンペスト攻撃
処理時間(の差):タイミング攻撃
消費電力:電力解析攻撃
誤動作させたときの時間差:故障利用攻撃
テンペスト攻撃とタイミング攻撃だけ知っておけば、残り2つは言葉から分かりますよね。電力なのか誤作動なのか。
電力解析攻撃は少し分かります。
昔、ゲームボーイのポケモンの増殖バグで。
交換後のセーブ時に電源を切るのですが、切るタイミングによってできないこともありました。セーブに電力を使うのでゲームボーイのランプが少し薄くなる瞬間に切ると上手くいきました。
内部的には、途中で電源が切れてポケモンが失われないよう、一瞬だけ2匹がある状態にしてから、片方を消すのだと思われます。
問題演習
正答はイ。「電力解析攻撃」ですね。
アの「キーロガー」は、マルウェアのうちスパイウェアの一種です。>マルウェアの解説Note(全4回)
エの「中間者攻撃」はセキュリティ問題御用達なので必ず知っておいてください。
中間者攻撃(MITM)は、通信に割り込む例でよく出ます。さらに不正を働くものがWebブラウザ内にいる時は、MITB(man-in-the-Browser)攻撃と云います。
ウの「スミッシング」はまた出たら対応しましょう。SMSメッセージを使った個人情報の窃取です。
正答はア。サイドチャネル攻撃のうち、電力解析攻撃ですね。
ウは「ショルダーハッキング」。ソーシャルエンジニアリングのうちの1つです。他にもトラッシング(スキャベンジング)も有名。>ソーシャルエンジニアリングのNote
エは「ジャミング」。ゲームや映画で聞いたことがあるかもですね。
イは「関連平文攻撃」。まず問われることはないので忘れましょう。他にも「線形解読法」もあります。
正答はイ。サイドチャネル攻撃のうち、「テンペスト攻撃(電磁波解析攻撃)」です。
エは、いわゆる「ブルートフォース攻撃(総当たり攻撃)」ですね。>パスワードクラックの解説Note
さて、アは「線形解読法」、イは「差分解読法」。「関連平文攻撃」もあってややこしいですね。
忘れましょう。AMIIでバイバイ。午後では出ません。出た時は説明されるはずですから。
SCではクラウドが多く、IoTはESで出ると思いますよね。その通り。とはいえ、監視カメラの映像の暗号化などの問題が出た実績もあります。
少なくとも「耐タンパ性」や「エッジコンピューティング」など技術面や無線通信やセンサ・力学装置を知っておいた方が、解くのに集中できます。
正答はア。
処理時間の方が「タイミング攻撃」、消費電力が「電力解析攻撃」を指しています。
ウは「中間者攻撃(MITM)」。SCでは御用達。
イは「トラッシング(スキャベンジング)」。ソーシャルエンジニアリングの一種です。>ソーシャルエンジニアリングのNote
エは「SQLインジェクション攻撃」。対策はプレースホルダ(バインド機構)を使用。ほかのWebアプリ系攻撃と覚えます。>Webアプリ系の攻撃解説Note
簡単に正解できる問題でしたが、各選択肢の背景知識が深いものが出揃っていましたね。
正答はウ。「テンペスト攻撃(電磁波解析攻撃)」。
アは「故障利用攻撃」。
イは「タイミング攻撃」。
以上3つは、サイドチャネル攻撃の一味。
エは「プロービング」。理系だと使ったオシロスコープ。検査するための針をプローブと云いしたよね。
まとめ
お疲れ様でした!
サイドチャネル攻撃とは、機器から物理量を測定して内部の仕組みを探る攻撃。
測定する物理量や手法によって分類。
ディスプレイやケーブルからの電磁波:テンペスト攻撃
処理時間(の差):タイミング攻撃
消費電力:電力解析攻撃
誤動作させたときの時間差:故障利用攻撃
以上がAMII対策。
今後の午後問題で重要になってくるのが「中間者攻撃(MITM)」。
中間者攻撃(MITM)は、通信に割り込む例が代表的。Webブラウザ内の場合は、MITB(man-in-the-Browser)攻撃。
これぐらい学べれば今回は充分な成果ですね。でわでわ。
ぜひ「情報セキュリティスペシャリスト」に合格してくださいね。
\私がお世話になったテキストのレビュー/
\私の3ヶ月の学習履歴/
p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。
でわでわ(・ω・▼)ノシ
この記事が参加している募集
学習方法・問題特集のNoteは全て無料提供を続けます▼ もしご覧になったNoteが有益だったり、私の志に共感されたりしましたら、サポート頂けますと励みになります▼ もちろんコメントでも結構です(・ω・▼)ノシ