ITパスポート試験 ITパスポート 2023年 (令和5年) 問89: 企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。

問題本文

企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。

選択肢

• ア.ゼロデイ攻撃
• イ.ソーシャルエンジニアリング
• ウ.ソーシャルメディア
• エ.トロイの木馬

正解

イ. ソーシャルエンジニアリング

解説

ソーシャルエンジニアリングは人間の心理的な隙や行動の癖を利用し情報を入手する非技術的攻撃.なりすまし聞出しやごみ箱漁り (トラッシング) 等が典型例として挙がる.

選択肢ごとの解説

• ア.ゼロデイ攻撃の説明. 未公開脆弱性を悪用する技術的な攻撃手法.
• イ.正しい. 非技術的手法での情報入手攻撃がソーシャルエンジニアリング.
• ウ.ソーシャルメディアの説明. SNS 等のサービス総称で攻撃手法でない.
• エ.トロイの木馬の説明. 正常を装って侵入するマルウェアの一種.