応用情報技術者 2011年 春期 午前2 問42
問題文
緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は、どれに分類されるか。
選択肢
ア:ソーシャルエンジニアリング(正解)
イ:トロイの木馬
ウ:パスワードクラック
エ:踏み台攻撃
緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は、どれに分類されるか。【午前2 解説】
要点まとめ
- 結論:緊急事態を装い人間の心理を利用して情報を騙し取る行為はソーシャルエンジニアリングに該当します。
- 根拠:ソーシャルエンジニアリングは技術的手法ではなく、人の心理的弱点を突く攻撃手法であり、緊急性を装うのが典型的な手口です。
- 差がつくポイント:技術的な攻撃(マルウェアや解析)と異なり、相手の信頼や焦りを利用する点を理解しているかが重要です。
正解の理由
ア: ソーシャルエンジニアリングは、技術的な手段を使わずに人間の心理的な隙を突いて情報を入手する手法です。緊急事態を装って焦りや信頼を誘い、パスワードや機密情報を聞き出す典型的な例です。
他の選択肢は技術的な攻撃やマルウェアに関するものであり、今回の「人間を騙す」行為とは異なります。
他の選択肢は技術的な攻撃やマルウェアに関するものであり、今回の「人間を騙す」行為とは異なります。
よくある誤解
- 技術的な解析やマルウェア感染と混同しやすいですが、ソーシャルエンジニアリングは心理的な操作が主です。
- 緊急事態を装うのは単なる詐欺ではなく、情報セキュリティ上の攻撃手法の一つです。
解法ステップ
- 問題文の「緊急事態を装う」「組織内部の人間から情報を入手する」に注目する。
- 技術的な攻撃か心理的な攻撃かを区別する。
- 人間の心理を利用する攻撃は「ソーシャルエンジニアリング」と判断する。
- 選択肢の意味を確認し、該当するものを選ぶ。
選択肢別の誤答解説
- イ: トロイの木馬
マルウェアの一種で、ユーザーに気付かれずに不正な動作を行うが、心理的な騙しは含まれない。 - ウ: パスワードクラック
パスワードを解析・解読する技術的手法であり、人を騙す行為ではない。 - エ: 踏み台攻撃
他のコンピュータを経由して攻撃を行う手法で、情報を騙し取る行為とは異なる。
補足コラム
ソーシャルエンジニアリングはフィッシング詐欺やなりすましなど多様な形態があります。技術的な防御だけでなく、社員教育や意識向上が重要です。緊急事態を装う手口は特に注意が必要で、組織内の情報管理ルールの徹底が求められます。
FAQ
Q: ソーシャルエンジニアリングは技術的な攻撃ですか?
A: いいえ。人間の心理的な隙を突く攻撃であり、技術的な手法とは異なります。
A: いいえ。人間の心理的な隙を突く攻撃であり、技術的な手法とは異なります。
Q: 緊急事態を装う以外の手口はありますか?
A: はい。例えば信頼関係を装う、権限を偽るなど多様な手口があります。
A: はい。例えば信頼関係を装う、権限を偽るなど多様な手口があります。
関連キーワード: ソーシャルエンジニアリング、情報セキュリティ、フィッシング、人的攻撃、パスワード管理
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!