平成29年度 秋期 ITパスポート試験 公開問題 問65 解説 ソーシャルエンジニアリング

この問題の判断根拠は「人の心理的隙」というキーワードです。IT技術そのものを攻撃するのではなく、人間の心理的傾向や行動上のミスを悪用して情報を盗み出す手法を探すと、ソーシャルエンジニアリングが該当します。

ソーシャルエンジニアリングの主な手法

ソーシャルエンジニアリングは、コンピュータシステムに対する攻撃というよりも、人間関係や社会的な慣習を逆手に取った手法を指します。具体的には以下のような行為が代表的です。

・ショルダーハッキング：肩越しに画面を覗き見たり、キーボード入力の様子を観察したりしてパスワードを盗み出す手法。 ・トラッシング（ゴミ箱あさり）：オフィスや周辺のゴミ箱を漁り、廃棄された書類から機密情報を探す手法。 ・なりすまし：システム管理者や保守業者を装って電話をかけ、パスワードを聞き出したり、本人になりすましてオフィスに侵入したりする手法。

人間は「親切にしたい」「権威に従ってしまう」といった心理的性質を持っています。これらを悪用されると、最新のセキュリティソフトを導入していても情報を漏洩させてしまうリスクがあるため、技術面だけでなく組織的な教育や物理的なセキュリティ対策が重要になります。

選択肢の他用語との違い

ア DoS攻撃：特定のサーバやネットワークに対して、大量のデータや不正な要求を送りつけ、サービスを停止させる技術的な攻撃です。 イ SQLインジェクション：Webサイトの入力フォームなどに不正なSQL文を混入させ、データベースを操作して情報を盗み出したり、改ざんしたりする攻撃です。 エ バッファオーバフロー：プログラムが確保しているメモリ領域（バッファ）を超えてデータを書き込むことで、プログラムを異常終了させたり、不正なコードを実行させたりする技術的な脆弱性を突く攻撃です。

これらの用語はすべてコンピュータの仕組みやプログラムの脆弱性を狙うものですが、ソーシャルエンジニアリングだけは人間の心理的側面を狙うという点で明確に区別できます。試験では「技術的」か「心理的」かという視点で分類すると正解を導きやすくなります。

• ソーシャルエンジニアリングとは？手口や対策を解説（カスペルスキー公式ブログ）