ITパスポート試験 過去問解説
ソーシャルエンジニアリングとは?ITパスポート試験 2016年 (平成28年 春期) 問86を解説
ITパスポート試験 2016年 (平成28年 春期) 問86は、ソーシャルエンジニアリングに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
この問題の出題ポイント
- ソーシャルエンジニアリングの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
- テクノロジ系分野では、用語の目的・主体・責任範囲の違いが選択肢で問われやすい。
- 関連タグ: ソーシャルエンジニアリング、なりすまし。
選択肢
- ア社員を装った電話を社外からかけて,社内の機密情報を聞き出す。正解
- イ送信元IPアドレスを偽装したパケットを送り,アクセス制限をすり抜ける。
- ウネットワーク上のパケットを盗聴し,パスワードなどを不正に入手する。
- エ利用者が実行すると,不正な動作をするソフトウェアをダウンロードする。
正解
ア: 社員を装った電話を社外からかけて,社内の機密情報を聞き出す。
解説
なぜ他の選択肢が違うのか
ア(正解)
正しい. 社員を装った電話を社外からかけて社内の機密情報を聞き出すのは,人間の信頼関係や不注意を利用するソーシャルエンジニアリングの典型例(なりすまし電話)である. 技術的攻撃ではなく人的要因を突く手口であり,本選択肢が問題文の趣旨に直接合致するため,本問の正解として最も適切となる.
イ
誤り. 送信元IPアドレスを偽装したパケットを送りアクセス制限をすり抜けるのは,IPスプーフィング(IP偽装攻撃)の説明であり,技術的なネットワーク攻撃に分類される. 人間の心理や信頼関係を突くソーシャルエンジニアリングとは攻撃の性格が異なるため,本選択肢は本問の例としては適切ではない.
ウ
誤り. ネットワーク上のパケットを盗聴してパスワードなどを不正入手するのは,スニッフィング・盗聴攻撃の説明であり,技術的な盗聴攻撃に分類される. 人的要因を狙うソーシャルエンジニアリングとは攻撃手法が異なるため,本選択肢は本問のソーシャルエンジニアリングの例には合致しない.
エ
誤り. 利用者が実行すると不正な動作をするソフトウェアをダウンロードさせるのは,マルウェア感染攻撃やトロイの木馬などの説明であり,技術的攻撃に分類される. 人の心理を直接突くソーシャルエンジニアリングとは攻撃の性格が異なるため,本問のソーシャルエンジニアリングの例とはしにくい.
解き方の整理
ソーシャルエンジニアリングの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連用語
関連問題
前後の問題
2016年 (平成28年 春期) の関連する問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。