平成28年度 春期 ITパスポート試験 問86 解説 ソーシャルエンジニアリング

この問題の正解を見極めるコツは、攻撃の対象がシステム（コンピュータの仕組み）か、人間（心理的な隙）かを見分けることです。選択肢の中で、コンピュータの脆弱性を突くのではなく、人の心理や行動を悪用しているものがソーシャルエンジニアリングの例となります。

ソーシャルエンジニアリングとは何か

ソーシャルエンジニアリングとは、コンピュータのシステム的な弱点を突くのではなく、人間の油断やミス、あるいは善意を利用して、機密情報（パスワードや顧客リストなど）を不正に入手する手法の総称です。

この手法の厄介な点は、最新のウイルス対策ソフトや高度なファイアウォールを導入していても、それを操作する人間が騙されてしまえば、防ぐことが非常に困難であるという点です。今回の問題にある「社員を装った電話」は、相手を信じ込ませる心理的な駆け引きを用いるため、典型的なソーシャルエンジニアリングとなります。

他の選択肢が誤りである理由

選択肢イ、ウ、エに挙げられている手法は、いずれもシステム上の脆弱性を突く技術的な攻撃手法です。

• イ：IPスプーフィング（IPアドレス偽装）と呼ばれ、信頼された端末になりすましてネットワークのアクセス制限を回避する技術的攻撃です。
• ウ：スニフィング（盗聴）です。ネットワーク上のデータを傍受する行為であり、通信プロトコルの特性や仕組みを悪用したものです。
• エ：マルウェア（不正なソフトウェア）の配布です。プログラムの実行やダウンロードの仕組みを悪用しており、これらは主に「技術的セキュリティ対策」によって防ぐ対象となります。

実務における重要性

この問題が試験で問われる理由は、セキュリティ対策がいくら進歩しても、情報の漏洩経路として「人」が最も大きなリスク要因になり得ることを認識させるためです。

例えば、物理的なオフィス内での事例として、以下のような行為もソーシャルエンジニアリングに含まれます。

・ショルダーハッキング：肩越しに画面を覗き見してパスワードを盗む ・トラッシング：ゴミ箱に捨てられた書類から機密情報を探り出す ・なりすまし：清掃員や宅配業者を装ってオフィスに侵入する

企業で働く際、私たちは「怪しい電話には回答しない」「離席時には必ず画面ロックをかける」「不要な書類はシュレッダーにかける」といったルールを徹底する必要があります。これらは高価なシステムを導入しなくても実行できる、極めて重要なセキュリティ対策といえます。

参考リンク

• ソーシャルエンジニアリングとは？手口や対策をわかりやすく解説
• 【実演】ソーシャルエンジニアリングの手口を体験してみた
• ソーシャル・エンジニアリング（情報セキュリティ用語事典）