問題
問65
人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。
- DoS攻撃
- SQLインジェクション
- ソーシャルエンジニアリング
- バッファオーバフロー
[出典:ITパスポート試験 平成29年度秋期 問65]
正解
正解は「ウ」です。
解説
正解は「ソーシャルエンジニアリング」です。ソーシャルエンジニアリングとは、コンピュータやネットワークなどの技術的な手段を用いるのではなく、人の心理的な隙や不注意を突いて、機密情報などを不正に入手する手口のことを指します。
例えば、会社の関係者を装って電話をかけ、「パスワードを忘れてしまったので教えてほしい」と尋ねる行為や、信頼できる人物からのメールを装い、偽のウェブサイトへ誘導してIDやパスワードを入力させるフィッシング詐欺などがこれにあたります。
問題文の「人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法」という記述は、このソーシャルエンジニアリングの定義そのものなので、この選択肢が正解となります。技術的な防御策だけでは防ぎきれないため、従業員一人ひとりのセキュリティ意識を高めることが重要です。
ア(DoS攻撃):
DoS攻撃は、サーバーやネットワークに大量のアクセスやデータを送りつけ、サービスを停止させたり機能を麻痺させたりする技術的な攻撃です。人の心理を悪用するものではありません。
イ(SQLインジェクション):
SQLインジェクションは、ウェブアプリケーションの入力フォームなどを介して不正なSQL文を注入し、データベースを不正に操作する技術的な攻撃です。人の心理を悪用するものではありません。
エ(バッファオーバフロー):
バッファオーバフローは、プログラムが確保したメモリ領域(バッファ)に、許容量を超えるデータを書き込むことで、不正な処理を実行させる技術的な脆弱性を狙った攻撃です。人の心理を悪用するものではありません。
難易度
この問題は、情報セキュリティに関する基本的な用語の知識が問われるため、比較的解きやすい問題と言えます。特に「ソーシャルエンジニアリング」は、ITパスポート試験でも頻出するテーマの一つであり、その定義をしっかり理解していれば迷うことなく正解にたどり着けるでしょう。選択肢の他の用語も重要な技術的攻撃手法ですが、問題文の「人の心理的な隙や不注意」というキーワードが明確なヒントとなります。
用語補足
DoS攻撃:
DoS攻撃(Denial of Service attack)は、サービス拒否攻撃とも呼ばれ、特定のサーバーやネットワークに対して大量のアクセスやデータを送りつけ、正常なサービス提供を妨害する技術的な攻撃です。例えるなら、お店の前に大勢の人が押し寄せて、他のお客さんが入れなくなり、お店が営業できなくなるような状態です。
SQLインジェクション:
SQLインジェクションは、ウェブサイトの入力欄などに不正なコマンド(SQL文)を挿入することで、データベースを不正に操作する攻撃です。例えば、ウェブサイトの検索窓に、通常の検索ワードではなく「全ユーザーの個人情報を表示しろ」という不正な命令を書き込んでしまうようなイメージです。
ソーシャルエンジニアリング:
ソーシャルエンジニアリングは、IT技術を使わずに、人間の心理的な隙や不注意を突いて、機密情報などを不正に取得する手法です。例えば、会社のパスワードを尋ねる電話がかかってきて、つい教えてしまうような詐欺行為がこれに該当します。
バッファオーバフロー:
バッファオーバフローは、プログラムがデータを一時的に保存するために用意した領域(バッファ)に、その領域の容量を超えるデータを意図的に書き込むことで、予期せぬ動作をさせたり、不正なプログラムを実行させたりする技術的な攻撃です。例えるなら、小さなコップにたくさんの水を無理やり注ぎ込んだ結果、水があふれて周りを濡らしてしまうだけでなく、コップが壊れてしまうような状態です。
対策
この問題を解くには、情報セキュリティに関する主要な攻撃手法の定義を正確に理解していることが重要です。特に、技術的な攻撃と「人の心理」を悪用するソーシャルエンジニアリングの違いを明確に区別することがポイントです。日頃から、各用語の意味とそれがどのような手口であるかを具体例とともに学習し、区別できるようにしておきましょう。関連用語の知識を広げることで、類題にも対応できるようになります。
