ITパスポート過去問 令和6年度(2024年)問73
IoT機器のセキュリティ対策のうち,ソーシャルエンジニアリング対策として,最も適切なものはどれか。
選択肢
- ア:IoT機器とサーバとの通信は,盗聴を防止するために常に暗号化通信で行う。
- イ:IoT機器の脆弱性(ぜいじゃくせい)を突いた攻撃を防止するために,機器のメーカーから最新のファームウェアを入手してアップデートを行う。
- ウ:IoT機器へのマルウェア感染を防止するためにマルウェア対策ソフトを導入する。
- エ:IoT機器を廃棄するときは,内蔵されている記憶装置からの情報漏えいを防止するために物理的に破壊する。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ソーシャルエンジニアリングは、暗号化や更新などの技術だけで突破するのではなく、人の行動や運用上の不備、物理的な管理の甘さを利用して情報を入手する手口です。IoT機器を廃棄する際に、記憶装置に残った情報を抜き取られることも想定されます。そのため、廃棄時に記憶装置を物理的に破壊して情報漏えいを防ぐ「エ」が最も適切です。
Point
ソーシャルエンジニアリングが技術的攻撃ではなく、人の行動や物理的な状況を利用する攻撃であることを理解し、選択肢の対策が「どの脅威に対応する対策か」を分類できるようになることを目的としています。
解くために必要な知識
この問題を解くには、ソーシャルエンジニアリングの定義、代表例(トラッシング)、および各対策が想定する脅威(盗聴、脆弱性悪用、マルウェア、廃棄時漏えい)を対応付けて理解している必要があります。
用語の整理
| 用語名 | 意味 |
|---|---|
| ソーシャルエンジニアリング | 技術的な攻撃ではなく、人の行動の不注意や心理、物理的な状況を利用して、パスワードや機密情報を不正に取得する手法の総称です。 |
| トラッシング | ソーシャルエンジニアリングの手法の一つで、廃棄された書類、記憶媒体、機器などから機密情報を取得する行為です。 |
| IoT機器 | Internet of Thingsの略で、ネットワークに接続されるセンサーや家電、産業機器などを指します。 |
他の選択肢に出てくる用語
| 用語名 | 意味 |
|---|---|
| 暗号化通信 | データを第三者が読めない形に変換して送受信する通信方式です。 |
| 盗聴 | 通信中のデータを不正に傍受する行為です。 |
| 脆弱性 | ソフトウェアやハードウェアに存在する欠陥や弱点で、攻撃に悪用されることがあります。 |
| ファームウェア | 機器に組み込まれた制御用ソフトウェアです。 |
| マルウェア | 悪意のある動作を行うソフトウェアの総称です。 |
問題の解法手順
各選択肢の整理
| 選択肢 | 対策内容 | 主な脅威 | ソーシャルエンジニアリング対策か |
|---|---|---|---|
| ア | 暗号化通信で盗聴を防止 | 通信の盗聴 | いいえ |
| イ | ファームウェア更新で脆弱性悪用を防止 | 脆弱性を悪用した攻撃 | いいえ |
| ウ | マルウェア対策ソフト導入 | マルウェア感染 | いいえ |
| エ | 廃棄時に記憶装置を物理破壊 | トラッシングによる情報取得 | はい |
判断の手順
1. ソーシャルエンジニアリングかどうかを見分けます
ソーシャルエンジニアリングは、人の不注意や物理的な状況を利用して情報を得る攻撃として扱われます。
2. 「廃棄物から情報を得る」内容を探します
廃棄した機器や媒体から情報を回収する行為は、トラッシングに該当します。
3. 対策として適切なものを選びます
トラッシングを防ぐには、廃棄時に記憶装置のデータを読み取れない状態にすることが必要です。選択肢では「エ」が該当します。
選択肢ごとの解説
- ア:不正解
通信の暗号化は、盗聴などネットワーク上の技術的な攻撃への対策です。人の行動や不注意を悪用するソーシャルエンジニアリング対策としては該当しません。
- イ:不正解
ファームウェアのアップデートは、脆弱性を突いた攻撃への対策です。これは技術的対策であり、ソーシャルエンジニアリング対策ではありません。
- ウ:不正解
マルウェア対策ソフトの導入は、マルウェア感染を防ぐための技術的対策です。ソーシャルエンジニアリング対策ではありません。
- エ:正解
廃棄時に記憶装置を物理的に破壊すると、廃棄物から情報を探すトラッシングによる情報漏えいを防ぎやすくなります。ソーシャルエンジニアリング対策として適切です。
まとめ
ソーシャルエンジニアリングは、暗号化や更新などの技術だけで突破するのではなく、人の行動や運用上の不備、物理的な管理の甘さを利用して情報を入手する手口です。IoT機器を廃棄する際に、記憶装置に残った情報を抜き取られることも想定されます。そのため、廃棄時に記憶装置を物理的に破壊して情報漏えいを防ぐ「エ」が最も適切です。
テクノロジ系 > 技術要素 > セキュリティ
通信の暗号化は、盗聴などネットワーク上の技術的な攻撃への対策です。人の行動や不注意を悪用するソーシャルエンジニアリング対策としては該当しません。
ファームウェアのアップデートは、脆弱性を突いた攻撃への対策です。これは技術的対策であり、ソーシャルエンジニアリング対策ではありません。
マルウェア対策ソフトの導入は、マルウェア感染を防ぐための技術的対策です。ソーシャルエンジニアリング対策ではありません。
廃棄時に記憶装置を物理的に破壊すると、廃棄物から情報を探すトラッシングによる情報漏えいを防ぎやすくなります。ソーシャルエンジニアリング対策として適切です。