令和4年度 ITパスポート試験 公開問題 問91 解説 ソーシャルエンジニアリング

この問題は、攻撃の手法が「技術的なシステムへの介入」か、「人間の心理的な隙をついたアナログな手段」かを見分けることで正解を導き出せます。ソーシャルエンジニアリングとは、コンピュータを直接攻撃するのではなく、人間の心理的な隙や行動のミスを突いて情報を盗む手法を指すため、肩越しに画面を盗み見る行為（ショルダーハック）がこれに該当します。

ソーシャルエンジニアリングの主な特徴と具体例 ソーシャルエンジニアリングは、ITスキルを駆使したハッキングとは異なり、盗聴、なりすまし、ゴミ箱のあさりなど、物理的または心理的な接触を伴うのが特徴です。代表的な手法として以下のものが挙げられます。

・ショルダーハック：肩越しにキーボード入力や画面を盗み見る行為。 ・トラッシング（スキャベンジング）：ゴミ箱から捨てられた書類や媒体を回収し、機密情報を得る行為。 ・なりすまし：保守業者やサポート担当者を装って電話をかけ、パスワードを聞き出す行為。

これらの攻撃を防ぐためには、パスワードを画面から見えないようにする、重要書類はシュレッダーにかける、電話での問い合わせには慎重に応じるといった、日頃の意識的な対策が不可欠です。

各選択肢の解説 ア：ブルートフォース攻撃（総当たり攻撃）と呼ばれます。コンピュータの処理能力を悪用してパスワードを推測する、技術的な攻撃手法です。 イ：これが正解です。人間側の隙（パスワード管理の甘さや周囲の警戒不足）を突くソーシャルエンジニアリングの典型例です。 ウ：DoS攻撃またはDDoS攻撃と呼ばれます。サーバに過大な負荷をかけてダウンさせる技術的な妨害行為です。 エ：バッファオーバフロー攻撃と呼ばれます。プログラムのメモリ管理の脆弱性を突き、不正なコードを実行させる高度な技術的攻撃です。

ITパスポート試験では、攻撃手法の名前と、その手法が「技術的」なものなのか「ソーシャルエンジニアリング（人間的・心理的）」なものなのかを混同させないことが重要です。似たようなカタカナの専門用語が多い分野ですが、それぞれの目的が「コンピュータを壊すこと」にあるのか「人間の心理を騙すこと」にあるのかを区別できるようになると、迷わず回答できるようになります。

• JPCERT コーディネーションセンター：情報セキュリティ知識ベース