令和６年度 ITパスポート試験 公開問題 問73 解説 ソーシャルエンジニアリング

正解の判断根拠

ソーシャルエンジニアリングは、コンピュータの技術的な欠陥を突くのではなく、人間の心理的な隙や行動のミスを突いて情報を盗み出す手法です。今回の問題は、「どの選択肢が人の行動に起因する情報漏えいを防ぐか」を見極めることがポイントです。

実は、設問の選択肢のうち「ソーシャルエンジニアリング」と明確に結びつくのは消去法的な判断になりますが、IoT機器における「盗聴の防止」は、悪意のある人間が管理者の通信を覗き見たり、偽の情報を流し込んだりして操作を誤らせる攻撃を防ぐため、広義のソーシャルエンジニアリング対策として分類されます。他の選択肢はすべて「技術的な対策」に分類されるため、これらを除外することで正解を導き出します。

ソーシャルエンジニアリングとは何か

ソーシャルエンジニアリングとは、コンピュータを直接攻撃するのではなく、以下のような人間の不注意や心理を利用してパスワードや機密情報を盗み出す行為を指します。

・ショルダーハッキング：背後からパスワード入力を盗み見る ・トラッシング：ゴミ箱から書類を漁る ・電話を使った詐欺：システム管理者を装ってパスワードを聞き出す

これらは、いくら最新のウイルス対策ソフトを入れても防ぐことができません。対策の基本は「情報を簡単に漏らさない」「人からの要求を鵜呑みにしない」といった行動変容です。

選択肢の分析と分類

各選択肢を整理すると、なぜこれらがソーシャルエンジニアリング対策ではない（あるいは適さない）のかが明確になります。

・選択肢イ：ファームウェアのアップデートは、機器のソフトウェア的な欠陥（脆弱性）を直すためのものです。これは技術的なメンテナンスであり、ソーシャルエンジニアリングとは関係ありません。

・選択肢ウ：マルウェア対策ソフトは、悪意のあるプログラムから機器を守るための技術的防衛策です。これも人の心理とは関係ありません。

・選択肢エ：廃棄時の物理的な破壊は、物理的な情報漏えい対策です。データが残ったまま廃棄することを防ぐための手順であり、これも技術的・物理的な対策に分類されます。

・選択肢ア：暗号化通信は、通信内容を他人に読み取られないようにする技術です。なぜこれがソーシャルエンジニアリング対策になり得るかというと、攻撃者がネットワーク上の通信を盗聴し、「偽の管理者からの指示」を送ったり、盗み見た情報をもとにユーザーを騙したりする行為を防ぐことができるからです。人によるミスを誘発させるための前提条件である「情報の入手」を封じるため、この文脈では最も適切な対策となります。

なぜこの知識が重要なのか

ITパスポート試験において、この問題は「セキュリティ対策はソフトやハードの技術だけではない」ということを学ばせる意図があります。

実社会では、どんなに強固なファイアウォールを設置しても、担当者が電話で「パスワードを教えて」と言われて答えてしまえば、一瞬でセキュリティは崩壊します。IoT機器が普及した現代では、物理的な機器を管理する人間が攻撃の対象になりやすいため、技術的な設定だけでなく、運用ルールや人の意識向上といった総合的な視点が求められているのです。

参考リンク

• ソーシャルエンジニアリングとは？手口や対策をわかりやすく解説
• IoT機器を狙った攻撃をハニーポットで可視化して遊んでみた
• ソーシャルエンジニアリング (情報セキュリティ読本)