戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2017年 秋期 65


問題文

人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。

選択肢

DoS攻撃
SQLインジェクション
ソーシャルエンジニアリング(正解)
バッファオーバフロー

🔒 解説は解答すると表示されます

人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。【ITパスポート 解説】

正解の理由

人の心理的な隙や不注意に付け込んで機密情報を不正に入手する手法は、のソーシャルエンジニアリングです。
ソーシャルエンジニアリングとは、人間の「信頼」「焦り」「好奇心」などの心理や、確認不足といった人的弱点を利用して情報を引き出す行為です。メールで偽の連絡を送りパスワードを入力させる、電話でなりすまして情報を聞き出す、といった手口が典型です。技術的な脆弱性を突く攻撃ではなく、「人」を狙う点が特徴です。

解法ステップ

  1. 問題文のキーワードに注目:「人の心理的な隙や不注意に付け込んで」「機密情報を不正に入手」
    → 「人」を狙う手法を問うていると判断します。
  2. 各選択肢の意味を確認する(初見でも一言でイメージできるように):
    • ア: DoS攻撃 — サービスを使えなくする技術的な攻撃(サービス妨害)
    • イ: SQLインジェクション — データベースに不正な命令を入れて情報を奪う技術的攻撃
    • : ソーシャルエンジニアリング — 人の心理を利用して情報を奪う手法(詐欺的な人間操作)
    • エ: バッファオーバフロー — プログラムの記憶領域のあふれを突く技術的脆弱性攻撃
  3. 「人を狙う=ソーシャルエンジニアリング」と結びつくため、が正しいと判断する。

選択肢別の誤答解説

  • ア: DoS攻撃(Denial of Service:サービス妨害)
    サーバ(サービスを提供するコンピュータ)などに大量のデータを送り、正しい利用者がサービスを使えなくする攻撃です。人的心理を騙すわけではなく、技術的にサービスを停止させる点で設問と合いません。
  • イ: SQLインジェクション(SQL: Structured Query Language:データベース操作言語)
    ウェブサイトの入力欄などに悪意あるSQL文を入れて、データベースから情報を不正取得する攻撃です。これは入力処理の脆弱性を突く技術的手法で、人的な心理操作ではありません。
  • : ソーシャルエンジニアリング
    人を騙したり信頼関係を悪用したりして情報を得る手法です。問題文の「心理的な隙や不注意に付け込む」という表現にぴったり一致します。
  • エ: バッファオーバフロー(バッファ: 一時的な記憶領域)
    プログラムが用意した記憶領域を超えるデータを与え、プログラムの動作を変える攻撃です。プログラムの欠陥を突く技術的手口であり、人の心理とは無関係です。

よくある誤解

  1. 「フィッシング=ソーシャルエンジニアリングの別名」だけで済ませて覚える
    → フィッシング(偽サイトや偽メールで情報を盗む)は代表的な手口ですが、ソーシャルエンジニアリングは電話や対面でのだましも含み、より広い概念です。違いを押さえておきましょう。
  2. 「技術的対策だけで防げる」と考える
    → ソーシャルエンジニアリングは人の判断ミスを突く攻撃なので、ソフトウェアだけで完全に防ぐことはできません。社員教育や確認ルールの整備が重要です。

補足コラム

ソーシャルエンジニアリングの具体例と対策(短く分かりやすく)
  • 例1: フィッシングメール
    銀行を名乗る偽メールで「至急ログインしてください」と促し偽サイトに誘導する。対策:メールの送信元やURLをよく確認し、公式アプリや公式サイトから直接アクセスする習慣をつける。
  • 例2: なりすまし電話
    社内の役職者を名乗って「至急、今すぐ振込手続きして」と指示する。対策:口頭の依頼だけで重要な操作をしない、コールバックで本人確認するなどの手順を設ける。
  • 例3: 直接の肩越し覗き(ショルダーハッキング)
    公共の場でパスワード入力を覗かれる。対策:画面保護フィルターや周囲に注意を払う。
また、対策として多要素認証(MFA: Multi-Factor Authentication:2段階以上の身元確認)や最小権限(必要な人にだけ必要な権限を与える)も効果的です。

FAQ

Q1: ソーシャルエンジニアリングとフィッシングは同じですか?
A1: フィッシングはソーシャルエンジニアリングの代表的な手口の一つです。フィッシングは主にメールや偽サイトを使いますが、ソーシャルエンジニアリングは電話や対面も含む広い概念です。
Q2: 個人でも被害に遭う可能性はありますか?
A2: はい。会社だけでなく個人のメールやSNS、オンラインバンキングなどでも標的にされます。普段から疑う習慣と確認の手順を持つことが重要です。
Q3: もし怪しい連絡を受けたらどうすればよいですか?
A3: まずは直接リンクを踏まず、公式の連絡手段(公式サイトや登録済みの電話番号)で事実確認を行ってください。職場なら上司や情報セキュリティ担当にも報告しましょう。

関連キーワード: ソーシャルエンジニアリング、フィッシング、なりすまし、人的脆弱性、セキュリティ対策、二要素認証、多要素認証、確認手順、情報漏えい、心理的操作
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について