平成22年度 春期 ITパスポート試験 問87 解説 ソーシャルエンジニアリング

心理的な隙を突く攻撃を見抜く

この問題のポイントは、コンピュータのセキュリティホールを突く「技術的な攻撃」ではなく、人の心理的な隙や行動の不備を突く「人間をターゲットにした攻撃」であることを見抜く点にあります。問題文にある「電話をかける」「パスワードを忘れたと言って教えさせる」といった行為は、システムの仕組みではなく、担当者の親切心や思い込みを悪用しているため、答えはソーシャルエンジニアリングとなります。

ソーシャルエンジニアリングとは

ソーシャルエンジニアリングとは、コンピュータを直接攻撃するのではなく、人間が持つルールや心理的な特性を悪用して機密情報を盗み出す手法の総称です。ITパスポート試験では、以下のような具体例がよく出題されます。

• 電話によるなりすまし：システム管理者や担当者を装ってパスワードを聞き出す（今回の問題）
• 盗み見（ショルダーハック）：画面やキーボード入力の様子を背後から覗き見てパスワードを盗む
• ゴミ箱あさり：廃棄された書類やメモから機密情報を探り出す
• 離席中の操作：ログインしたまま離席した端末を勝手に操作する

これらに共通するのは、どれも高度なプログラミング技術を必要とせず、私たちの身近にある「ついやってしまうミス」や「相手を信じてしまう心理」を狙っている点です。

なぜこの問題が重要なのか

情報セキュリティ対策において、どれほど強固なファイアウォールや最新のウイルス対策ソフトを導入しても、それを操作するのは人間です。システムを守るためのゲートを、攻撃者が「内部の人間」のふりをして開けさせてしまうソーシャルエンジニアリングは、防御が非常に困難な脅威の一つとされています。

試験の意図としては、単にコンピュータ用語を覚えるだけでなく、「セキュリティ対策には、システム上の設定だけでなく、働く人のリテラシー向上や業務ルールの策定といったヒューマンエラーを防ぐ対策が不可欠である」という全体的な理解を問うています。実務においても、電話越しにパスワードを聞かれたら本人確認を徹底する、離席時は必ず画面をロックするなど、日常的な注意を促すための重要な概念です。

誤った選択肢の考え方

ア：DoS攻撃は、過剰な負荷をかけてサービスを停止させる攻撃です。 イ：総当たり攻撃（ブルートフォース攻撃）は、考えられるすべてのパスワードを試して突破しようとする技術的な攻撃です。 エ：バックドアは、不正侵入後にいつでも入れるように仕掛けた裏口のことです。

これらと比較すると、今回のケースが「人の心理を操作した」という点で異質であることがよく分かります。

参考リンク

• 情報セキュリティ基本講座：ソーシャルエンジニアリングとは？
• 【実録】ソーシャルエンジニアリングの手口と対策｜なぜ一流企業も騙されるのか
• ソーシャル・エンジニアリング（総務省 国民のための情報セキュリティサイト）