問題
テクノロジ系
問89 企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。
選択肢
- アゼロデイ攻撃
- イソーシャルエンジニアリング
- ウソーシャルメディア
- エトロイの木馬
解説
正解:イ
概要
この問題は、技術的な脆弱性を突くのではなく、人の心理や行動の隙を利用して情報を不正に入手する攻撃手法について問うものです。情報セキュリティにおける人的対策の重要性がテーマです。
正解の理由
ソーシャルエンジニアリングは、従業員になりすましてIDやパスワードを聞き出すなど、人の心理的な弱点を突いて情報を取得する攻撃です。コンピュータの技術的な欠陥を利用するのではなく、人をだます点が特徴です。したがって正解はイです。
各選択肢の解説
ア(×): ゼロデイ攻撃は、まだ修正プログラムが提供されていない脆弱性を悪用する攻撃です。技術的な弱点を突く手法であり、人をだまして情報を得る攻撃ではないため誤りです。
イ(〇): ソーシャルエンジニアリングは、人になりすましたりごみ箱から情報を探したりして、心理的な隙を突いて機密情報を入手する攻撃です。技術的手法を用いない点が設問に合致するため正解です。
ウ(×): ソーシャルメディアは、インターネット上で情報を発信・共有するサービスのことです。攻撃手法そのものを指す用語ではないため誤りです。
エ(×): トロイの木馬は、正規のソフトウェアを装って侵入するマルウェアの一種です。プログラムを用いた技術的攻撃であり、人の心理だけを利用する攻撃ではないため誤りです。
ポイント
ソーシャルエンジニアリングは、人の心理や行動の隙を突く攻撃であり、技術対策だけでなく教育や運用面の対策も重要であると覚えましょう。