【問231】個人情報保護士 練習問題|ソーシャルエンジニアリング
情報セキュリティ 問51/120難易度A(易しい)
問題文
ソーシャルエンジニアリングの手法として、最も不適切なものはどれか。
- 1.電話でシステム管理者を装い、パスワードを聞き出す
- 2.他人の肩越しにパスワード入力画面を覗き見る(ショルダーハッキング)
- 3.ファイアウォールの脆弱性を突いてネットワークに侵入する
- 4.ゴミ箱から廃棄された書類を収集して情報を得る(トラッシング)
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り(ソーシャルエンジニアリングの手法)
なりすまし電話でパスワードを聞き出す行為は、代表的なソーシャルエンジニアリングの手法です。
選択肢2 → ❌誤り(ソーシャルエンジニアリングの手法)
ショルダーハッキング(肩越しの覗き見)は、物理的なソーシャルエンジニアリングの手法です。
選択肢3 → ✅正解(ソーシャルエンジニアリングではない)
ファイアウォールの脆弱性を突く攻撃は技術的な攻撃であり、人間の心理や行動を利用するソーシャルエンジニアリングには該当しません。
選択肢4 → ❌誤り(ソーシャルエンジニアリングの手法)
トラッシング(ゴミ箱漁り)は、廃棄物から情報を収集するソーシャルエンジニアリングの手法です。
背景知識
ソーシャルエンジニアリングとは、技術的な手段ではなく、人間の心理的な弱点や行動の隙を突いて情報を不正に取得する手法の総称です。主な手法には、なりすまし(電話やメールで身分を詐称)、ショルダーハッキング(覗き見)、トラッシング(ゴミ箱漁り)、テールゲーティング(共連れ入室)、フィッシング(偽サイトへの誘導)などがあります。技術的な脆弱性攻撃とは異なり、人間を標的とする点が特徴です。
学習アドバイス
ソーシャルエンジニアリングの主な手法(なりすまし、ショルダーハッキング、トラッシング、テールゲーティング等)を具体例とともに覚えましょう。技術的攻撃との違いを明確にしておくことが重要です。
まとめ
- ソーシャルエンジニアリングは人間の心理や行動を利用する攻撃
- 技術的な脆弱性攻撃とは区別される
- なりすまし、ショルダーハッキング、トラッシング等が代表的手法