ITパスポート過去問 令和5年度(2023年)問89
企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。
選択肢
- ア:ゼロデイ攻撃
- イ:ソーシャルエンジニアリング
- ウ:ソーシャルメディア
- エ:トロイの木馬
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
技術的手法を用いない攻撃とは、ソフトウェアの脆弱性などを突くのではなく、なりすましや盗み見、廃棄物の探索などで人の行動や不注意を利用して、IDやパスワードなどの情報を入手する手口です。これに該当するのはソーシャルエンジニアリングです。
Point
この問題は、技術を使った攻撃(マルウェアや脆弱性攻撃)と、技術的手法を用いずに人から情報を得る攻撃(ソーシャルエンジニアリング)を区別できるかを確認することがねらいです。
解くために必要な知識
の問題を解くには、ソーシャルエンジニアリングを中心に、各用語が攻撃手法なのか、技術的手法を使うのかを整理して理解しておく必要があります。
用語の整理
覚える観点
技術的手法を用いる攻撃かどうかで切り分けます。
| 用語 | 分類 | 意味 | 代表例 |
|---|---|---|---|
| ソーシャルエンジニアリング | 攻撃手法(非技術) | 技術的手法を使わず、人の心理や行動につけ込んで情報を入手する手法です。 | なりすまし、トラッシング、ショルダーハッキング |
| ゼロデイ攻撃 | 攻撃手法(技術) | 修正プログラムが提供される前の脆弱性を悪用する攻撃です。 | 未修正の脆弱性の悪用 |
| ソーシャルメディア | サービス分類 | SNSやブログなど、利用者が情報を発信・共有できるサービスの総称です。攻撃手法そのものではありません。 | SNS、ブログ |
| トロイの木馬 | マルウェア | 正常なソフトウェアに見せかけて、悪意ある機能を実行させるマルウェアです。 | 不正送金、情報窃取など |
ソーシャルエンジニアリングの代表例
-
なりすまし(電話、対面、メールなどで本人を装う)
-
トラッシング(くずかごから書類などを入手する)
-
ショルダーハッキング(画面やキーボード入力をのぞき見る)
選択肢ごとの解説
- ア:不正解
ゼロデイ攻撃は、ソフトウェアの脆弱性を悪用する技術的手法の攻撃です。問題文の「技術的手法を用いない攻撃」には当たりません。
- イ:正解
ソーシャルエンジニアリングは、人の行動や心理につけ込んで情報を入手する攻撃です。問題文の「なりすましでIDやパスワードを聞き出す」「くずかごから機密情報を入手する(トラッシング)」に一致します。
- ウ:不正解
ソーシャルメディアは、情報発信や共有を行うサービスの総称です。攻撃手法を指す用語ではありません。
- エ:不正解
トロイの木馬はマルウェアの一種で、プログラムに悪意ある機能を紛れ込ませる技術的な手口です。問題文の条件とは異なります。
まとめ
技術的手法を用いない攻撃とは、ソフトウェアの脆弱性などを突くのではなく、なりすましや盗み見、廃棄物の探索などで人の行動や不注意を利用して、IDやパスワードなどの情報を入手する手口です。これに該当するのはソーシャルエンジニアリングです。
テクノロジ系 > 技術要素 > セキュリティ
ゼロデイ攻撃は、ソフトウェアの脆弱性を悪用する技術的手法の攻撃です。問題文の「技術的手法を用いない攻撃」には当たりません。
ソーシャルエンジニアリングは、人の行動や心理につけ込んで情報を入手する攻撃です。問題文の「なりすましでIDやパスワードを聞き出す」「くずかごから機密情報を入手する(トラッシング)」に一致します。
ソーシャルメディアは、情報発信や共有を行うサービスの総称です。攻撃手法を指す用語ではありません。
トロイの木馬はマルウェアの一種で、プログラムに悪意ある機能を紛れ込ませる技術的な手口です。問題文の条件とは異なります。