問題
問91
ソーシャルエンジニアリングに該当する行為の例はどれか。
- あらゆる文字の組合せを総当たりで機械的に入力することによって、パスワードを見つけ出す。
- 肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する。
- 標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって、サービスの提供を妨げる。
- プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ、不正にプログラムを実行させる。
[出典:ITパスポート試験 令和4年度 問91]
スポンサーリンク
正解
正解は「イ」です。
解説
選択肢「イ」は、肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する行為です。これはソーシャルエンジニアリングの典型的な手法の一つです。ソーシャルエンジニアリングとは、人間の心理的な隙を突いて情報を盗み出す手法であり、技術的な手段を用いずに情報を得ることが特徴です。例えば、電話で偽の身分を名乗って情報を引き出すことや、オフィスに侵入して書類を盗み見ることなどが含まれます。
ア(あらゆる文字の組合せを総当たりで機械的に入力することによって、パスワードを見つけ出す。):
これはブルートフォース攻撃と呼ばれる手法で、ソーシャルエンジニアリングとは異なります。
ウ(標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって、サービスの提供を妨げる。):
これはDDoS攻撃と呼ばれる手法で、ソーシャルエンジニアリングとは異なります。
エ(プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ、不正にプログラムを実行させる。):
これはバッファオーバーフロー攻撃と呼ばれる手法で、ソーシャルエンジニアリングとは異なります。
難易度
普通
ソーシャルエンジニアリングの基本的な概念を理解していれば解答できる問題です。初心者でも学習すれば解答可能ですが、他の攻撃手法との違いを理解している必要があります。
スポンサーリンク
用語補足
ソーシャルエンジニアリング:
人間の心理的な隙を突いて情報を盗み出す手法です。技術的な手段を用いずに情報を得ることが特徴で、例えば、電話で偽の身分を名乗って情報を引き出すことや、オフィスに侵入して書類を盗み見ることなどが含まれます。
ブルートフォース攻撃:
あらゆる文字列の組合せを機械的に試し、正しいパスワードを見つけ出す攻撃手法です。時間はかかりますが、技術的に高度な手法ではありません。
対策
ソーシャルエンジニアリングへの対策として、パスワードや個人情報の管理を徹底し、肩越しに情報を盗み見られないよう注意しましょう。また、不審な電話やメールには注意し、正規の手段で情報を確認する習慣を身につけることが重要です。
