※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「B. 肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する。」です。
ソーシャルエンジニアリングとは、人間の心理や行動の隙を突いて情報を不正に入手する手法のことです。
この記事では、ITパスポート試験(令和4年度)で出題された過去問の第37問「ソーシャルエンジニアリングの例」について、試験対策の観点からわかりやすく解説します。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリング=人の心理や行動を利用した情報取得手法
攻撃者が技術的手段ではなく、人間の油断や信頼関係を利用してパスワードや機密情報を入手する方法を指します。肩越しの覗き見や電話での聞き出しなどが典型例です。
他の選択肢との違い
- 総当たり攻撃:技術的手段でパスワードを解析する方法で、ソーシャルエンジニアリングではない
- DoS攻撃:サービス妨害の技術的攻撃
- バッファオーバーフロー:プログラムの脆弱性を突く技術的攻撃
ソーシャルエンジニアリングは、人間の心理的弱点を狙った攻撃であることがポイントです。
問われているポイント
この問題では、情報セキュリティにおける攻撃手法の分類を理解し、人間を介した攻撃(ソーシャルエンジニアリング)と技術的攻撃の違いを押さえているかが問われています。
気を付けてほしい点(勘違いしやすいポイント)
- パスワードを機械的に解析する方法は技術的攻撃であり、ソーシャルエンジニアリングではない
- 肩越しの覗き見や電話で聞き出す行為はソーシャルエンジニアリングである
補足
ITパスポート試験では、人間の心理的隙を狙った攻撃手法を理解しているかが問われることがあります。
ITパスポート試験での出題パターン
テクノロジ系では、ソーシャルエンジニアリングやDoS攻撃、バッファオーバーフローなどの攻撃手法の特徴を問う問題が定番です。
攻撃の分類を整理して覚えておくと解答しやすくなります。
この知識が使われている問題
まとめ
- ソーシャルエンジニアリングは人間の心理や行動を利用した情報取得手法
- 肩越しの覗き見や電話での聞き出しが代表例
- 技術的攻撃(総当たり攻撃・DoS・バッファオーバーフロー)とは異なる