ITパスポート過去問 令和4年度(2022年)問91
ソーシャルエンジニアリングに該当する行為の例はどれか。
選択肢
- ア:あらゆる文字の組合せを総当たりで機械的に入力することによって,パスワードを見つけ出す。
- イ:肩越しに盗み見して入手したパスワードを利用し,他人になりすましてシステムを不正利用する。
- ウ:標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって,サービスの提供を妨げる。
- エ:プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ,不正にプログラムを実行させる。
- ア
- イ
- ウ
- エ
正解と解き方・学習ポイント(AI解説)
ソーシャルエンジニアリングは、暗号解読や脆弱性攻撃などの技術的手段ではなく、人の不注意や行動の隙を利用して情報を入手する手法です。肩越しにパスワードを盗み見して入手し、なりすまして不正利用する行為はソーシャルエンジニアリングに該当します。
Point
この問題は、ソーシャルエンジニアリングが「技術」ではなく「人の行動や心理」を利用する攻撃であることを理解し、各選択肢がどの分類に当たるかを区別できるかを確認することがねらいです。
解くために必要な知識
この問題を解くには、ソーシャルエンジニアリングの定義と、代表的な攻撃手法の特徴を知っている必要があります。
用語の整理
| 用語 | 意味 |
|---|---|
| ソーシャルエンジニアリング | 技術的な侵入ではなく、人の行動や不注意を利用して、パスワードや機密情報を不正に入手する手口の総称です。 |
| ショルダーハッキング | パスワード入力や画面閲覧の際に、肩越しにのぞき見して情報を入手する手口です。ソーシャルエンジニアリングに含まれます。 |
他の選択肢に出てくる用語
| 用語 | 意味 |
|---|---|
| ブルートフォース攻撃(総当たり攻撃) | 想定される文字の組合せを機械的に試して、パスワードを見つけ出す攻撃です。 |
| DoS攻撃 | 大量のリクエストなどを送って過負荷状態にし、サービス提供を妨げる攻撃です。 |
| バッファオーバーフロー攻撃 | 確保したメモリ領域(バッファ)を超えるデータを与えてメモリを破壊し、不正な動作を起こさせる攻撃です。 |
覚えておく区別
-
ソーシャルエンジニアリングは、人を対象にして情報を得ます。
-
技術的な攻撃は、計算で突破する、通信を大量に送る、脆弱性を突くなど、システムを対象にして攻撃します。
問題の解法手順
各選択肢の整理
| 選択肢 | 手法の例 | 人を対象にした手口か | ソーシャルエンジニアリングか |
|---|---|---|---|
| ア | 総当たりでパスワードを試す | いいえ | 該当しません |
| イ | 肩越しに盗み見してパスワードを入手する | はい | 該当します |
| ウ | 大量リクエストで過負荷にする | いいえ | 該当しません |
| エ | 長い入力でメモリ領域をあふれさせる | いいえ | 該当しません |
判断の手順
-
人の行動や不注意を利用して情報を得るかを確認します。
-
技術的にシステムへ負荷をかける、脆弱性を突く、計算で突破するものはソーシャルエンジニアリングではないと判断します。
選択肢ごとの解説
- ア:不正解
総当たりで機械的に入力してパスワードを見つけるのは、総当たり攻撃(ブルートフォース攻撃)です。コンピュータを用いる技術的攻撃であり、ソーシャルエンジニアリングではありません。
- イ:正解
肩越しに盗み見してパスワードを入手するのは、ショルダーハックです。人の不注意を利用して情報を得るため、ソーシャルエンジニアリングに該当します。
- ウ:不正解
大量のリクエストで過負荷にしてサービス提供を妨げるのは、DoS攻撃(サービス拒否攻撃)です。ネットワーク経由の技術的攻撃であり、ソーシャルエンジニアリングではありません。
- エ:不正解
確保した領域より長いデータ入力でバッファをあふれさせ不正実行させるのは、バッファオーバフロー攻撃です。プログラムの脆弱性を悪用する技術的攻撃であり、ソーシャルエンジニアリングではありません。
まとめ
ソーシャルエンジニアリングは、暗号解読や脆弱性攻撃などの技術的手段ではなく、人の不注意や行動の隙を利用して情報を入手する手法です。肩越しにパスワードを盗み見して入手し、なりすまして不正利用する行為はソーシャルエンジニアリングに該当します。
テクノロジ系 > 技術要素 > セキュリティ
総当たりで機械的に入力してパスワードを見つけるのは、総当たり攻撃(ブルートフォース攻撃)です。コンピュータを用いる技術的攻撃であり、ソーシャルエンジニアリングではありません。
肩越しに盗み見してパスワードを入手するのは、ショルダーハックです。人の不注意を利用して情報を得るため、ソーシャルエンジニアリングに該当します。
大量のリクエストで過負荷にしてサービス提供を妨げるのは、DoS攻撃(サービス拒否攻撃)です。ネットワーク経由の技術的攻撃であり、ソーシャルエンジニアリングではありません。
確保した領域より長いデータ入力でバッファをあふれさせ不正実行させるのは、バッファオーバフロー攻撃です。プログラムの脆弱性を悪用する技術的攻撃であり、ソーシャルエンジニアリングではありません。