基本情報技術者 2014年秋期午前（科目A）問36

問題文

ソーシャルエンジニアリングに分類される手口はどれか。

選択肢

ア：ウイルス感染で自動作成されたバックドアからシステムに侵入する。

イ：システム管理者などを装い、利用者に問い合わせてパスワードを取得する。（正解）

ウ：総当たり攻撃ツールを用いてパスワードを解析する。

エ：バッファオーバフローなどのソフトウェアの脆弱性を利用してシステムに侵入する。

ソーシャルエンジニアリングに分類される手口はどれか。【午前2 解説】

要点まとめ

結論→ソーシャルエンジニアリングは人の信頼や心理を悪用する手口であり、選択肢の中ではイが該当します。
根拠→「システム管理者を装い利用者から直接パスワードを聞き出す」は人間を騙す典型的手法で、技術的脆弱性の利用とは性質が異なります。
差がつくポイント→マルウェアやバッファオーバーフローは技術的攻撃、総当たりは自動化攻撃で、人を騙す行為かどうかで見分けてください。

正解の理由

選択肢の中で唯一、人の心理や信頼関係を利用して情報（パスワード）を直接取得する行為を記述しているのがイです。ソーシャルエンジニアリングは技術的な脆弱性の悪用ではなく、相手の信頼を得たり偽装したりして機密情報を引き出す手法（例：なりすまし、問い合わせ、偽サイト、電話での聞き出し）を指します。したがって「システム管理者などを装い、利用者に問い合わせてパスワードを取得する」は定義に完全に合致します。

よくある誤解

「ウイルスやバックドアもソーシャルエンジニアリングだ」と混同する人がいますが、これらは主に技術的攻撃であり、説明文が自動生成や脆弱性の悪用を示す場合は技術攻撃です。
「フィッシング＝技術攻撃」と捉える誤りがありますが、フィッシング自体はソーシャルエンジニアリングの典型例で、人を騙す点が本質です。
「総当たり（ブルートフォース）も人を騙す行為だ」と誤認しがちですが、総当たりは計算リソースを用いる自動攻撃であり人的詐術ではありません。

解法ステップ

問題文のキーワードを確認：「ソーシャルエンジニアリング」＝人を騙す・心理的操作。
各選択肢を「人的操作か技術的攻撃か」で分類する。
人的操作（他人を騙して情報を得る）の記述がある選択肢を選ぶ。
該当するのがイであることを確かめて回答する。

選択肢別の誤答解説

ア: ウイルス感染で自動作成されたバックドアから侵入する→マルウェアによる自動化された技術的侵入であり、人的欺瞞を直接示していないためソーシャルエンジニアリングではありません。
イ: システム管理者などを装い、利用者に問い合わせてパスワードを取得する→人の信頼を利用する典型的なソーシャルエンジニアリングの手口なので正解です。
ウ: 総当たり攻撃ツールを用いてパスワードを解析する→計算的・自動的手法（ブルートフォース）であり、人的操作に依存しないため該当しません。
エ: バッファオーバーフローなどの脆弱性を利用して侵入する→ソフトウェアの欠陥を突く技術的攻撃で、ソーシャルエンジニアリングの定義とは異なります。

補足コラム

ソーシャルエンジニアリングは被害者の不注意や信頼を突くため、組織的対策としては定期的なセキュリティ教育、疑わしい問い合わせ時の本人確認手順、多要素認証（MFA）の導入、最小権限の原則が有効です。技術的攻撃と組み合わされることも多く、例えばフィッシングでマルウェアを配布させるケースや、電話詐欺でパスワードを聞き出してから脆弱性を突くケースがあるため総合的な対策が必要です。

FAQ

Q: フィッシングはソーシャルエンジニアリングに含まれますか？
A: はい。フィッシングはメールや偽サイトで人を騙して情報を得る代表的なソーシャルエンジニアリングです。

Q: マルウェア経由でユーザが誘導される場合はどう分類しますか？
A: 初動がユーザの行動（添付ファイルを開く等）を誘発する社会的操作であればソーシャルエンジニアリング的要素を含みますが、問題文が「自動作成されたバックドア」など技術的動作を強調する場合は技術攻撃と判断します。

Q: なぜ総当たり攻撃は詐欺ではないのですか？
A: 総当たり（ブルートフォース）は人を騙す手法ではなく、候補を自動で試す計算的手法であり、人的操作というソーシャルエンジニアリングの要件を満たしません。

関連キーワード: ソーシャルエンジニアリング、フィッシング、なりすまし、パスワード窃取、ブルートフォース、マルウェア、バックドア、バッファオーバーフロー

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！