平成28年度 春期 ITパスポート試験 問63 解説 フィッシングの定義
フィッシングの説明として, 適切なものはどれか。
- ア ウイルスに感染している PC へ攻撃者がネットワークを利用して指令を送り, 不正なプログラムを実行させること
- イ 金融機関などからの電子メールを装い, 偽サイトに誘導して暗証番号やクレジットカード番号などを不正に取得すること ✓ 正答
- ウ パスワードに使われそうな文字列を網羅した辞書のデータを使用してパスワードを割り出すこと
- エ 複数のコンピュータから攻撃対象のサーバへ大量のパケットを送信し, サーバの機能を停止させること
解説
フィッシング詐欺を見抜くためのキーワード
この問題の正解はイです。フィッシング(Phishing)という用語を見たら、真っ先に「偽メール」「偽サイト」「個人情報の搾取」という3つのキーワードを連想してください。本物のサービスを装った罠を仕掛け、ユーザーを騙して情報を入力させる手口です。
他の選択肢はすべて別の攻撃手法を指しています。以下のポイントを押さえておくと、試験本番で迷わなくなります。
- ア:ボットネットを利用した遠隔操作(PCがゾンビ化される攻撃)
- ウ:辞書攻撃(よくあるパスワードを順番に試す攻撃)
- エ:DoS攻撃(サーバに過度な負荷をかけてサービスを停止させる攻撃)
フィッシング詐欺の仕組みと対策
フィッシングという言葉は、釣り(Fishing)と洗練(Sophisticated)を組み合わせた造語と言われています。言葉の通り、攻撃者は釣り針(メールやSNSのメッセージ)を投げ込み、それに食いついたユーザーを偽の釣り場(偽サイト)へ誘導します。
この攻撃の恐ろしい点は、システム上の脆弱性を突く技術的な攻撃ではなく、人間の心理的な隙(不安や焦り)を突くソーシャルエンジニアリングの手法であることです。「至急確認が必要です」「アカウントが停止されました」といった緊急性を煽る内容を送りつけ、冷静な判断を奪うのが攻撃者の常套手段です。
対策として最も重要なのは、メールやSMSに記載されたリンクを不用意にクリックしないことです。何かを確認したい場合は、ブックマークや公式アプリから正規のサイトへ直接アクセスする癖をつけてください。
試験における重要性と教育的意図
情報セキュリティ管理において、もっとも守るべきは人間そのものです。どんなに強固なファイアウォールを設置しても、ユーザーが自らパスワードを入力してしまえば、防御は無力化されます。
ITパスポート試験においてこの問題が問われる理由は、ITリテラシーの基礎として「メールやWebサイトの情報が必ずしも本物とは限らない」という疑う姿勢を身につけてほしいからです。現場レベルでは、二要素認証(2FA)の導入や、メールの送信ドメイン認証技術(SPF/DKIM/DMARCなど)を理解することが、こうしたフィッシング被害を防ぐための重要な技術的背景となります。
参考リンク
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
