応用情報技術者 PR

【応用情報技術者】サイドチャネル攻撃とは何か

記事内に商品プロモーションを含む場合があります

●サイドチャネル攻撃とは
ハードウェアを物理的に観察することで暗号鍵やプライベートデータを取得する攻撃方法。

出題された回(平成29年度春期以降)
令和4年度秋期

サイドチャネル攻撃の説明

サイドチャネル攻撃とは、ハードウェアを物理的に観察することで暗号鍵やプライベートデータを取得する攻撃方法です。

マルウェアを用いた攻撃とは違い、攻撃対象の端末のデータや構造を破壊することなく、必要なデータを盗みます。

サイドチャネル攻撃では、正常処理と異常処理に必要な処理時間の違いや、ICカード等の端末から漏れ出る電磁波を観察することで、セキュリティを侵害します。

サイドチャネル攻撃には以下のような種類があります。

  • 電力解析攻撃
    端末の消費電力を測定することで、端末内部の情報取得を試みます。

    例えば、正常なパスワードを入力した場合と、誤ったパスワードを入力した場合の電力消費量の差を測定することで、正常なパスワードの推測を行いやすくします。

    サイドチャネル攻撃では正常な処理と異常な処理を行った場合の処理内容の違いを観測することで内部データを取得します。

  • タイミング攻撃
    端末の処理時間を測定することで、端末内部の情報取得を試みます。
  • 電磁波解析攻撃
    端末から漏れ出る電磁波を解析することで、端末内部の情報取得を試みます。

サイドチャネル攻撃は、セキュリティの論理的なアルゴリズムが強固であっても、ハードウェアの物理的な性質が脆弱だと防ぐことが出来ません。

過去問

応用情報技術者 午前試験
令和4年度秋期問37

サイドチャネル攻撃に該当するものはどれか。

ア 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間,消費電流など)やエラーメッセージから,攻撃対象の秘密情報を得る。

イ 企業などの秘密情報を不正に取得するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた秘密情報の印刷物をオフィスの紙ごみの中から探し出す。

ウ 通信を行う2者間に割り込み,両者が交換する情報を自分のものとすり替えることによって,その後の通信を気付かれることなく盗聴する。

エ データベースを利用するWebサイトに入力パラメータとしてSQL文の断片を送信することによって,データベースを改ざんする。

正解と解説

正解は”ア”