問題
テクノロジ系
問91 ソーシャルエンジニアリングに該当する行為の例はどれか。
選択肢
- アあらゆる文字の組合せを総当たりで機械的に入力することによって,パスワードを見つけ出す。
- イ肩越しに盗み見して入手したパスワードを利用し,他人になりすましてシステムを不正利用する。
- ウ標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって,サービスの提供を妨げる。
- エプログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ,不正にプログラムを実行させる。
解説
正解:イ
概要
ソーシャルエンジニアリングのように、人の心理や行動の隙を突いて認証情報などを入手し、不正利用につなげる行為を問う問題です。
正解の理由
覗き見(肩越しの盗み見)でパスワードを入手するのは、人をだましてではないものの「人の行動の隙」を悪用する典型例であり、ソーシャルエンジニアリングに当たります。得たパスワードでなりすまして不正利用する流れも含め、趣旨に一致します。
各選択肢の解説
ア(×): あらゆる文字を総当たりで試すのはブルートフォース攻撃であり、人の心理や行動を利用するソーシャルエンジニアリングではありません。
イ(〇): 肩越しに覗き見してパスワードを入手するのは人の不注意を突く手口で、ソーシャルエンジニアリングの例として適切です。
ウ(×): 大量のリクエストで過負荷にして妨害するのはDoS攻撃の考え方であり、人をだまして情報を得る行為ではありません。
エ(×): バッファをあふれさせて不正実行するのはプログラムの脆弱性を突く攻撃で、ソーシャルエンジニアリングとは別の分類です。
ポイント
ソーシャルエンジニアリングは「人」を狙う攻撃で、覗き見やだましによる認証情報の入手が代表例です。