問題本文
人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。
選択肢
- ア.DoS攻撃
- イ.SQLインジェクション
- ウ.ソーシャルエンジニアリング
- エ.バッファオーバフロー
解説
ソーシャルエンジニアリング(Social Engineering)は技術的な手段ではなく,人間の心理的な隙,不注意,信頼,権威への服従などを利用して機密情報を入手する非技術的な攻撃手法である。電話でのなりすまし,のぞき見(ショルダーハッキング),廃棄書類の探索(トラッシング),なりすましメールなどが代表的手法。正解はウ。
選択肢ごとの解説
- ア.DoS攻撃(Denial of Service)は大量のパケットやリクエストを標的サーバへ送り付け,サービスを応答不能状態にする攻撃である。帯域やリソースを枯渇させる技術的手法であり,人の心理を突く手法とは性格が異なる。
- イ.SQLインジェクションはWebアプリケーションの入力フォームに不正なSQL文を注入し,データベースを不正に操作したり情報を窃取したりする攻撃である。ソフトウェアの脆弱性を突く技術的攻撃であり,人の心理を利用するものではない。
- ウ.ソーシャルエンジニアリングはシステム管理者を装った電話でパスワードを聞き出す,目を離した隙に画面をのぞき見る,廃棄書類からログイン情報を入手するなど,人の行動・心理を悪用した情報搾取の総称。正解。
- エ.バッファオーバフロー(Buffer Overflow)はプログラムのメモリバッファに許容量を超えるデータを書き込み,隣接するメモリ領域を上書きすることで任意のコードを実行させるソフトウェアの脆弱性攻撃である。技術的手法であり,人の心理とは無関係。
ITパスポート 2017年 (平成29年 秋期) の過去問一覧へ戻る・問65