情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問21: ソーシャルエンジニアリングに該当するものはどれか。

問題本文

ソーシャルエンジニアリングに該当するものはどれか。

選択肢

• ア.オフィスから廃棄された紙ごみを，清掃員を装って収集して，企業や組織に関する重要情報を盗み出す。
• イ.キー入力を記録するソフトウェアを，不特定多数が利用するPCで動作させて，利用者IDやパスワードを窃取する。
• ウ.日本人の名前や日本語の単語が登録された辞書を用意して，プログラムによってパスワードを解読する。
• エ.利用者IDとパスワードの対応リストを用いて，プログラムによってWebサイトへのログインを自動的かつ連続的に試みる。

正解

ア. オフィスから廃棄された紙ごみを，清掃員を装って収集して，企業や組織に関する重要情報を盗み出す。

解説

本問はソーシャルエンジニアリングの定義を問う。ソーシャルエンジニアリングとは、技術的手段ではなく人間の心理や行動の隙、物理的手段を利用して機密情報を盗む手口を指す。正解はアで、清掃員を装って廃棄物から情報を盗む行為（トラッシング／スキャベンジング）は人を欺く非技術的手口であり、ソーシャルエンジニアリングに該当する。

選択肢ごとの解説

• ア.正しい。清掃員になりすまして紙ごみを収集し情報を盗む行為は、人の隙や物理的手段を突くソーシャルエンジニアリングに該当する。
• イ.誤り。キーロガーを使って入力を記録し窃取するのはマルウェアによる技術的攻撃であり、ソーシャルエンジニアリングではない。
• ウ.誤り。辞書を用いてプログラムでパスワードを解読するのは辞書攻撃という技術的手法であり、人を欺く手口ではない。
• エ.誤り。IDとパスワードのリストを使い自動的にログインを試みるのはパスワードリスト攻撃という技術的攻撃であり、ソーシャルエンジニアリングではない。