企業の従業員になりすましてIDやパスワードを聞き出したり、くずかごから機密情報を入手したりするなど、技術的手法を用いない攻撃はどれか。

イソーシャルエンジニアリング

令和5年度 ITパスポート試験公開問題問89 解説ソーシャルエンジニアリング

この問題は、攻撃の手法が「技術的なシステム攻撃」なのか「人間の心理や行動を突く手法」なのかを分類することで正解を導き出せます。問題文にある「技術的手法を用いない」というキーワードを見つけたら、人の隙をつく行動を指すソーシャルエンジニアリングが正解だと判断してください。

ソーシャルエンジニアリングとは、コンピュータを直接攻撃するのではなく、人の心理的な隙や行動のミスを悪用して機密情報を盗み出す手法の総称です。具体例としては以下のようなものが挙げられます。

・ショルダーハック（肩越しに覗き見をしてパスワードを盗む）・ゴミ箱あさり（廃棄された書類から機密情報を探す）・なりすまし（電話やメールで管理者を装い、パスワードを聞き出す）・テールゲーティング（オフィスビルの入館ゲートで、入館者の後ろに続いて不法に侵入する）

ITパスポート試験において、この用語は「人間をターゲットにした攻撃」として非常によく出題されます。技術的な対策（ファイアウォールの設置など）では防ぐことが難しいため、社員への教育やルールの徹底が重要な対策となります。

他の選択肢については以下の通りです。

アのゼロデイ攻撃は、ソフトウェアの脆弱性が修正される前に、その脆弱性を突いて行われる攻撃です。極めて技術的な手法であり、ベンダーが修正プログラムを公開するより前に行われるため対策が困難です。

ウのソーシャルメディアは、SNSなどの総称です。情報収集や宣伝に使われるツールであり、攻撃手法そのものを指す言葉ではありません。

エのトロイの木馬は、一見すると便利なソフトウェアを装い、ユーザーを騙してインストールさせることで、システム内部から破壊活動や情報の持ち出しを行う悪意のあるプログラムです。ソフトウェアの中に紛れ込ませるという点で技術的な手法に分類されます。

情報セキュリティの分野では、技術的なセキュリティ対策だけでなく、こうした人間を狙った脅威を理解し、日常的な行動から防衛していく意識が求められます。