問題
問89
企業の従業員になりすまして ID やパスワードを聞き出したり、くずかごから機密情報を入手したりするなど、技術的手法を用いない攻撃はどれか。
- ソーシャルエンジニアリング
- ゼロデイ攻撃
- ソーシャルメディア
- トロイの木馬
[出典:ITパスポート試験 令和5年度 問89]
スポンサーリンク
正解
正解は「イ」です。
解説
ソーシャルエンジニアリングとは、技術的な攻撃手法を使わずに、人間の心理や行動を利用して情報を盗み出す攻撃のことです。具体的には、なりすましによる情報収集、ゴミ箱に捨てられた書類からの情報取得、肩越しにパスワードを見るショルダーハッキングなどがあります。
ア(ゼロデイ攻撃):
ゼロデイ攻撃とは、ソフトウェアの未修正の脆弱性を狙った攻撃であり、技術的な手法に分類されます。
ウ(ソーシャルメディア):
ソーシャルメディアとはSNSなどのコミュニケーション手段を指し、直接的な攻撃手法ではありません。
エ(トロイの木馬):
トロイの木馬は、見た目は正規のソフトウェアに見せかけつつ、不正な動作をするマルウェアであり、技術的な攻撃手法です。
難易度
普通
ソーシャルエンジニアリングは情報セキュリティの基本的な概念ですが、他の選択肢との区別が必要なため、やや考える必要があります。
スポンサーリンク
用語補足
ソーシャルエンジニアリング:
人間の心理的な隙をついて情報を盗み取る手法です。例えば、なりすましやゴミ箱あさり、ショルダーハッキングなどが挙げられます。
ゼロデイ攻撃:
脆弱性が発見された当日に攻撃を行う手法で、パッチが適用される前に攻撃が成功しやすいです。
対策
- 従業員への情報セキュリティ教育を徹底し、不審なメールや電話への対応方法を明確にする。
- ゴミ箱に機密情報を捨てるのではなく、シュレッダーを利用する。
- オフィス内でのスクリーンの覗き見を防ぐため、プライバシーフィルターを導入する。
created by Rinker
¥1,793
(2025/04/29 06:16:02時点 楽天市場調べ-詳細)
