平成22年度 秋期 ITパスポート試験 問75 解説 フィッシング

問題文にある「金融機関を装った偽メール」「偽のWebページへ誘導」「個人情報を盗み取る」というキーワードが揃っていれば、迷わず「フィッシング」を選びます。これらはフィッシング詐欺の典型的な手口だからです。

フィッシング詐欺とは何か

フィッシング（Phishing）は、釣り（Fishing）と洗練された（Sophisticated）を組み合わせた造語と言われています。攻撃者が本物そっくりの偽サイトを作成し、そこにユーザーを釣り上げ、ログイン情報やクレジットカード情報を入力させて盗み出す手口です。

この攻撃の最大の特徴は、システムそのものの脆弱性を突くのではなく、人間の心理的な隙（偽メールを信じ込ませる、不安を煽って急がせるなど）を突く「ソーシャルエンジニアリング」の一種であるという点です。

選択肢を分析して消去法で確かめる

ほかの選択肢も情報セキュリティ分野で頻出の用語です。混同しないように整理しておきましょう。

・ア クラッキング コンピュータシステムに不正に侵入したり、データを破壊・盗用したりする行為そのものを指します。ハッキングという言葉が本来「技術的探求」を含むのに対し、クラッキングは明確な悪意を持って行われる破壊行為を指します。

・イ バッファオーバフロー プログラムが確保したメモリ領域（バッファ）を超えてデータを書き込んでしまう脆弱性のことです。攻撃者はこれを利用して、本来実行されるはずのない不正なプログラムを実行させたり、システムをダウンさせたりします。

・エ ボット 感染させたコンピュータを遠隔操作できるようにするプログラムのことです。ボットに感染したコンピュータは「踏み台」にされ、迷惑メールを大量に送信させられたり、特定のサイトへの攻撃（DDoS攻撃）に加担させられたりします。

試験対策としての考え方

ITパスポート試験では、似たような言葉や、攻撃の種類を問う問題が頻出します。「どのような手段で」「何を目的としているか」という観点で整理するのが効率的です。

フィッシングであれば「メールやWebによるなりすまし＝情報を盗む」というセットで覚えます。ボットであれば「遠隔操作＝操り人形になる」というイメージを持つと記憶に残りやすいでしょう。実務の場面では、こうした攻撃を知っているかどうかが、不審なメールに遭遇した際の判断基準となります。「URLが不自然ではないか」「急かすような内容ではないか」と立ち止まれるようになることが、この問題を学ぶ本来の目的です。

参考リンク

• フィッシング詐欺とは？被害に遭わないための対策と手口を解説
• 【実録】フィッシング詐欺メールが届いたので、犯人の罠を徹底的に調査してみた
• フィッシング対策協議会 フィッシングとは