ITパスポート試験 ITパスポート 2010年 (平成22年 秋期) 問75: 銀行やクレジットカード会社などを装った偽のWebページを開設し、金融機関や公的機関などを装った偽の電子メールなどで、利用者を巧みに誘導して、暗証番号やクレジット

問題本文

銀行やクレジットカード会社などを装った偽のWebページを開設し、金融機関や公的機関などを装った偽の電子メールなどで、利用者を巧みに誘導して、暗証番号やクレジットカード番号などの個人情報を盗み取る行為を何と呼ぶか。

選択肢

• ア.クラッキング
• イ.バッファオーバフロー
• ウ.フィッシング
• エ.ボット

正解

ウ. フィッシング

解説

フィッシング(phishing)は金融機関や公的機関などを装った電子メールで偽サイトに誘導し、暗証番号・カード番号などの個人情報を盗み取る詐欺行為.混同注意として、クラッキングは不正アクセスで侵入・改ざんする行為全般、バッファオーバフローは脆弱性を突いた攻撃手法、ボットは外部指令で動作するマルウェア.「偽メール+偽サイトで情報詐取=フィッシング」が決まり.スピアフィッシング(標的型)もこの一種.

選択肢ごとの解説

• ア.クラッキングは不正アクセスやシステム侵入を行う行為全般を指す広い用語.偽サイト誘導による情報詐取というフィッシング特有の手口とは異なるため不適切.
• イ.バッファオーバフローはプログラムのバッファ領域に過大なデータを書き込み制御権を奪う攻撃手法.偽サイト誘導とは別カテゴリで、メモリ脆弱性を突く技術的攻撃.
• ウ.正解.偽の電子メールと偽のWebページで利用者を誘導し個人情報を盗む行為はフィッシング.金融詐欺の代表的手口で、設問の定義と完全一致.
• エ.ボットは外部からの指令で動作するマルウェア.感染PCを遠隔操作してDDoSやスパム送信に使われるが、偽サイト誘導の詐欺行為ではない.