選択肢
- ア.社員を装った電話を社外からかけて,社内の機密情報を聞き出す。
- イ.送信元IPアドレスを偽装したパケットを送り,アクセス制限をすり抜ける。
- ウ.ネットワーク上のパケットを盗聴し,パスワードなどを不正に入手する。
- エ.利用者が実行すると,不正な動作をするソフトウェアをダウンロードする。
正解
ア. 社員を装った電話を社外からかけて,社内の機密情報を聞き出す。
解説
ソーシャルエンジニアリングは,コンピュータ技術ではなく人間の心理や不注意,信頼関係につけ込んで,パスワードや機密情報をだまし取ったり不正行為を行わせたりする手法である. なりすまし電話による情報の聞き出し,肩越しの覗き見(ショルダーハッキング),ゴミ箱漁り(トラッシング),書類の盗み見など多様な手口がある. 送信元IPアドレス偽装はIPスプーフィング(技術的攻撃),ネットワーク上のパケット盗聴は技術的盗聴攻撃,不正動作するソフトのダウンロードはマルウェア感染攻撃に該当する. 人的要因を利用するか技術を使うかが分類のポイントとなる.
選択肢ごとの解説
- ア.正しい. 社員を装った電話を社外からかけて社内の機密情報を聞き出すのは,人間の信頼関係や不注意を利用するソーシャルエンジニアリングの典型例(なりすまし電話)である. 技術的攻撃ではなく人的要因を突く手口であり,本選択肢が問題文の趣旨に直接合致するため,本問の正解として最も適切となる.
- イ.誤り. 送信元IPアドレスを偽装したパケットを送りアクセス制限をすり抜けるのは,IPスプーフィング(IP偽装攻撃)の説明であり,技術的なネットワーク攻撃に分類される. 人間の心理や信頼関係を突くソーシャルエンジニアリングとは攻撃の性格が異なるため,本選択肢は本問の例としては適切ではない.
- ウ.誤り. ネットワーク上のパケットを盗聴してパスワードなどを不正入手するのは,スニッフィング・盗聴攻撃の説明であり,技術的な盗聴攻撃に分類される. 人的要因を狙うソーシャルエンジニアリングとは攻撃手法が異なるため,本選択肢は本問のソーシャルエンジニアリングの例には合致しない.
- エ.誤り. 利用者が実行すると不正な動作をするソフトウェアをダウンロードさせるのは,マルウェア感染攻撃やトロイの木馬などの説明であり,技術的攻撃に分類される. 人の心理を直接突くソーシャルエンジニアリングとは攻撃の性格が異なるため,本問のソーシャルエンジニアリングの例とはしにくい.
ITパスポート 2016年 (平成28年 春期) の過去問一覧へ戻る・問86