基本情報技術者 2015年 秋期 午前(科目A) 問39
問題文
標的型攻撃メールで利用されるソーシャルエンジニアリング手法に該当するものはどれか。
選択肢
ア:件名に“未承諾広告※”と記述する。
イ:件名や本文に、受信者の業務に関係がありそうな内容を記述する。(正解)
ウ:支払う必要がない料金を振り込ませるために、債権回収会社などを装い無差別に送信する。
エ:偽のホームページにアクセスさせるために、金融機関などを装い無差別に送信する。
##: 標的型攻撃メールで利用されるソーシャルエンジニアリング手法【午前2 解説】
要点まとめ
- 結論:受信者の業務や関係性を利用して個別に狙う「業務に即した文言」を含む手口が正解です。
- 根拠:個別情報や業務関連の文面は受信者の注意を緩め、信頼を作り成功率を高めるため、ソーシャルエンジニアリングの典型です。
- 差がつくポイント:件名や本文の具体性(プロジェクト名や役職、部署名など)を基に標的型か無差別かを見分ける力が合否を分けます。
正解の理由
選択肢の中でソーシャルエンジニアリング手法に該当するのは、イ「件名や本文に、受信者の業務に関係がありそうな内容を記述する。」です。
理由は明確で、ソーシャルエンジニアリングは人の心理や業務上の信頼を利用して行動を促す技術であり、個別の業務情報や関係性を示すことで受信者の警戒心を下げ、開封・クリック・添付ファイル実行などを誘導します。イは「個別に狙う」特徴を示しており、これが標的型攻撃(スピアフィッシング)の本質です。
理由は明確で、ソーシャルエンジニアリングは人の心理や業務上の信頼を利用して行動を促す技術であり、個別の業務情報や関係性を示すことで受信者の警戒心を下げ、開封・クリック・添付ファイル実行などを誘導します。イは「個別に狙う」特徴を示しており、これが標的型攻撃(スピアフィッシング)の本質です。
よくある誤解
- 「差出人名や件名に社名や金融機関名があれば安全」と考える誤解:表示名や件名は簡単に偽装できるため信用できません。
- 「不正メール=必ず個人名宛で来る」との誤認:無差別攻撃でも巧妙な文面なら被害が出ますが、標的型は特に個別情報を使う点が特徴です。
- 「件名に’未承諾広告’は安全の印」ではない:むしろそれは迷惑メール分類に関する表示で、ソーシャルエンジニアリングの有無とは別問題です。
解法ステップ
- 問題文で「標的型攻撃メール」「ソーシャルエンジニアリング」をキーワードとして認識する。
- 各選択肢が「個別にターゲットを狙う」か「無差別に送るか」を判定する。
- 個別の業務情報や関係性を利用する記述があれば、それがソーシャルエンジニアリングに該当する。
- 該当する選択肢を選ぶ(本問ではイが該当)。
選択肢別の誤答解説
- ア: 件名に“未承諾広告※”と記述する。
→ これは迷惑メールや広告の分類表記に関することで、無差別配信や広告扱いを示す可能性が高く、業務情報を利用して特定人物を騙す手法ではありません。よって不正解です。 - イ: 件名や本文に、受信者の業務に関係がありそうな内容を記述する。
→ 正解。個別の業務情報や関連性を示すことで受信者の信頼を得て操作を促す、典型的なソーシャルエンジニアリング(標的型攻撃)です。 - ウ: 支払う必要がない料金を振り込ませるために、債権回収会社などを装い無差別に送信する。
→ 債権回収を装うのはなりすまし詐欺ですが「無差別に送信」する点からは一般的な大量フィッシング/スパムであり、個別ターゲティングを前提とする標的型とは異なります。 - エ: 偽のホームページにアクセスさせるために、金融機関などを装い無差別に送信する。
→ これもフィッシングの典型ですが問題文の「無差別に送信する」点で標的型ではなく、大量配信型のフィッシングに該当します。
補足コラム
標的型攻撃(スピアフィッシング)は単に「名前を入れる」だけでなく、社内プロジェクト名、上司や取引先の名前、固有の業務用語などを駆使して信頼を作ります。検知・対策としては以下が有効です。
- 技術的対策:SPF/DKIM/DMARCの導入、メールゲートウェイでのURLサンドボックスや添付ファイル検査、疑わしい送信元のブラックリスト化。
- 組織的対策:従業員教育(疑わしいメールの識別)、ワンタイムパスワードや多要素認証の普及、重要操作に対する二段階承認。
- 運用面:内部情報の取り扱いを最小化し、プロジェクト名や役職などの公開範囲を制限することで攻撃材料を減らせます。
FAQ
Q1: 標的型攻撃と一般的なフィッシングの見分け方は?
A1: 標的型は個人や組織に関する具体的情報や業務文脈が含まれ、受信者の信頼を狙います。一般フィッシングは不特定多数を狙い文面が一般的です。
A1: 標的型は個人や組織に関する具体的情報や業務文脈が含まれ、受信者の信頼を狙います。一般フィッシングは不特定多数を狙い文面が一般的です。
Q2: 件名に個人名があれば常に標的型ですか?
A2: いいえ。個人名の使用は一要素ですが、業務関連の具体性や送信者の手口(なりすましの精度)を総合的に判断する必要があります。
A2: いいえ。個人名の使用は一要素ですが、業務関連の具体性や送信者の手口(なりすましの精度)を総合的に判断する必要があります。
Q3: 技術的に確実な防御法はありますか?
A3: 完全な防御は難しいですが、SPF/DKIM/DMARC、メール検査、URLサンドボックス、MFA、ユーザ教育の組合せでリスクを大幅に低減できます。
A3: 完全な防御は難しいですが、SPF/DKIM/DMARC、メール検査、URLサンドボックス、MFA、ユーザ教育の組合せでリスクを大幅に低減できます。
関連キーワード: 標的型攻撃、ソーシャルエンジニアリング、スピアフィッシング、フィッシング、メールセキュリティ、SPF、DKIM、DMARC、多要素認証、人間の脆弱性対策
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!