応用情報技術者 2010年 秋期 午前2 問39
問題文
ソーシャルエンジニアリングに分類される手口はどれか。
選択肢
ア:ウイルス感染で自動作成されたバックドアからシステムに侵入する。
イ:システム管理者などを装い、利用者に問い合わせてパスワードを取得する。(正解)
ウ:総当たり攻撃ツールを用いてパスワードを解析する。
エ:バッファオーバフローなどのソフトウェアの脆弱性を利用してシステムに侵入する。
ソーシャルエンジニアリングに分類される手口はどれか【午前2 解説】
要点まとめ
- 結論:ソーシャルエンジニアリングは人の心理や信頼を利用して情報を騙し取る手口であり、選択肢イが該当します。
- 根拠:システム管理者を装い利用者から直接パスワードを聞き出す行為は、技術的攻撃ではなく心理的操作に基づくためです。
- 差がつくポイント:技術的な攻撃(ウイルス感染や脆弱性利用)と心理的操作の違いを正確に理解することが重要です。
正解の理由
選択肢イは「システム管理者などを装い、利用者に問い合わせてパスワードを取得する」行為であり、これは人間の信頼や心理を利用して情報を得る典型的なソーシャルエンジニアリングの手口です。技術的なツールや脆弱性を使わず、相手の心理的な隙を突く点が特徴です。
よくある誤解
ソーシャルエンジニアリングは技術的なハッキング手法と混同されがちですが、実際は人間の心理を利用した攻撃であり、プログラムや脆弱性の利用とは異なります。
解法ステップ
- ソーシャルエンジニアリングの定義を確認する(心理的操作による情報取得)。
- 各選択肢が技術的攻撃か心理的攻撃かを分類する。
- 技術的攻撃はウイルス感染、脆弱性利用、総当たり攻撃など。
- 心理的攻撃は人を騙して情報を得る行為。
- 選択肢イが心理的操作に該当するため正解と判断する。
選択肢別の誤答解説
- ア: ウイルス感染によるバックドア設置は技術的攻撃であり、心理的操作ではない。
- イ: 正解。人を騙してパスワードを聞き出す典型的なソーシャルエンジニアリング。
- ウ: 総当たり攻撃はツールを使った技術的なパスワード解析であり、心理的操作ではない。
- エ: バッファオーバーフローはソフトウェアの脆弱性を利用した技術的攻撃であり、心理的手法ではない。
補足コラム
ソーシャルエンジニアリングはフィッシングやなりすまし、電話詐称など多様な手法があります。技術的な防御だけでなく、社員教育や意識向上が重要です。また、パスワードの使い回しを避ける、多要素認証を導入するなどの対策も効果的です。
FAQ
Q: ソーシャルエンジニアリングとフィッシングの違いは?
A: フィッシングはメールや偽サイトを使ったソーシャルエンジニアリングの一種で、広義の心理的攻撃に含まれます。
A: フィッシングはメールや偽サイトを使ったソーシャルエンジニアリングの一種で、広義の心理的攻撃に含まれます。
Q: 総当たり攻撃はソーシャルエンジニアリングに含まれますか?
A: いいえ。総当たり攻撃は技術的なパスワード解析手法であり、心理的操作ではありません。
A: いいえ。総当たり攻撃は技術的なパスワード解析手法であり、心理的操作ではありません。
関連キーワード: ソーシャルエンジニアリング、パスワード詐取、心理的攻撃、フィッシング、バッファオーバーフロー、総当たり攻撃
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!