問題
問86
情報セキュリティにおけるソーシャルエンジニアリングの例として、適切なものはどれか。
- 社員を装った電話を社外からかけて、社内の機密情報を聞き出す。
- 送信元 IPアドレスを偽装したパケットを送り、アクセス制限をすり抜ける。
- ネットワーク上のパケットを盗聴し、パスワードなどを不正に入手する。
- 利用者が実行すると、不正な動作をするソフトウェアをダウンロードする。
[出典:ITパスポート試験 平成28年度春期 問86]
正解
正解は「ア」です。
解説
正解は選択肢アです。ソーシャルエンジニアリングとは、コンピュータやシステムへの技術的な攻撃ではなく、人の心理的な隙や不注意、信頼などを巧みに利用して、パスワードや機密情報などを不正に取得する詐欺の手口のことです。
例えば、社員になりすまして電話をかけ、相手を信じ込ませて情報を聞き出す行為は、まさにこのソーシャルエンジニアリングに該当します。技術的な防御策だけでは防ぎにくいため、社員一人ひとりのセキュリティ意識が非常に重要になります。身近な例で言えば、宅配業者を装ったメールで偽サイトに誘導し、個人情報を入力させようとするフィッシング詐欺も、ソーシャルエンジニアリングの一種と言えます。
イ(送信元 IPアドレスを偽装したパケットを送り、アクセス制限をすり抜ける。):
これは、IPアドレスという技術的な情報を偽装する技術的な攻撃(なりすまし)であり、ソーシャルエンジニアリングではありません。
ウ(ネットワーク上のパケットを盗聴し、パスワードなどを不正に入手する。):
これは、通信データを傍受する技術的な攻撃であり、ソーシャルエンジニアリングではありません。ソーシャルエンジニアリングは、人の心理を操ることで情報を引き出す手口を指します。
エ(利用者が実行すると、不正な動作をするソフトウェアをダウンロードする。):
これは、マルウェア(悪意のあるソフトウェア)をダウンロードさせる攻撃の一種です。不正なソフトウェアのダウンロードを誘導する際に、心理的な要素が使われることもありますが、この選択肢が示す内容はマルウェア攻撃そのものですので、ソーシャルエンジニアリングとは異なります。
難易度
この問題の難易度は比較的低いです。ソーシャルエンジニアリングの基本的な概念を理解していれば、迷うことなく正解にたどり着けるでしょう。技術的な攻撃と心理的な攻撃の違いが明確に示されているため、情報セキュリティの基礎を学習していれば容易に判断できます。ITパスポート試験の過去問を解く上では、重要な基本用語の一つです。
用語補足
ソーシャルエンジニアリング:
人の心理的な隙や不注意を利用して、機密情報などを不正に取得する詐欺の手法のことです。例えば、「困っている社員を装ってパスワードを聞き出す」といった手口があります。
IPアドレス偽装:
ネットワーク上で通信相手を識別するために使われるIPアドレスを、実際のものとは異なるアドレスに見せかけることです。例えば、悪意のある攻撃者が別のコンピュータになりすます場合などに使われます。
パケット盗聴:
ネットワーク上を流れるデータを「パケット」と呼びますが、このパケットを不正に傍受して内容を盗み見ることです。まるで手紙の中身を勝手に開けて読むような行為を指します。
マルウェア:
「Malicious Software(悪意のあるソフトウェア)」の略で、コンピュータに損害を与えたり、不正な操作を行ったりするプログラム全般を指します。ウイルスやスパイウェアなどがこれに該当します。例えば、パソコンを壊したり、個人情報を盗んだりする目的で作られたソフトウェアのことです。
対策
ソーシャルエンジニアリングは、技術的な脆弱性を狙うのではなく、人間の心理的な弱みやミスを利用する情報セキュリティの脅威です。この問題では、技術的な攻撃と心理的な攻撃を見分けることがポイントになります。各選択肢が「システムやネットワークの技術的な操作」を伴うのか、「人を騙す、誘い込む」といった心理的な操作を伴うのかを判断することで、正解を導き出すことができます。情報セキュリティの脅威の種類と対策について、基礎知識をしっかり学習しておきましょう。
