※本情報は解説作成時点のもので、閲覧時点では法改正等により情報が変更になっている場合がございます。あらかじめご理解いただければ幸いです。
正解は「B:ソーシャルエンジニアリング」です。
ソーシャルエンジニアリングは、人の心理的な隙や行動を利用して情報を不正に入手する攻撃手法です。
この記事では、ITパスポート試験(令和5年度)テクノロジ系の第34問「ソーシャルエンジニアリング」について、試験対策の観点からわかりやすく解説します。
ソーシャルエンジニアリングとは
技術的手法を使わず、人の心理を利用する攻撃
ソーシャルエンジニアリングは、従業員になりすましてIDやパスワードを聞き出す、くずかごから機密情報を探す(トラッシング)など、人の油断や善意につけ込む攻撃です。
他の選択肢との違い
- ゼロデイ攻撃:未修正の脆弱性を突く攻撃
- ソーシャルメディア:SNSなどの情報共有サービス
- トロイの木馬:正規ソフトを装ったマルウェア
技術的な脆弱性ではなく「人」を狙うのがソーシャルエンジニアリングです。
問われているポイント
この問題では、技術的攻撃と人的攻撃の違いを正しく理解しているかが問われています。
セキュリティ対策は技術面だけでなく、人的対策も重要であることを押さえておきましょう。
気を付けてほしい点(勘違いしやすいポイント)
- ソーシャルエンジニアリングはマルウェアではない
- 心理的誘導やなりすましが中心
- 対策には教育やルール整備が重要
補足
代表例には、なりすまし電話、ショルダーハッキング、トラッシングなどがあります。
ITパスポート試験での出題パターン
テクノロジ系では、マルウェアや攻撃手法の名称と特徴の区別が頻出です。
「技術的攻撃」と「人的攻撃」を区別できるようにしておきましょう。
この知識が使われている問題
まとめ
- ソーシャルエンジニアリングは人の心理を利用する攻撃
- 技術的手法を用いないのが特徴
- 教育や意識向上が重要な対策