第23問
近年、機密情報への攻撃の手法が多様化している。機密情報を不正に入手する手 法であるソーシャルエンジニアリングに関する記述として、最も不適切なものはど れか。
- ア シュレッダーで処理された紙片をつなぎ合わせて、パスワードを取得する。
- イ パソコンの操作画面を盗み見して、パスワードを取得する。
- ウ 文字列の組み合わせを機械的かつ総当たり的に試すことで、パスワードを取得 する。
- エ ユーザになりすまして管理者に電話し、パスワードを取得する。
▼ 解答・解説を見る
正解:ウ
解答:ウ
ソーシャルエンジニアリングとは、技術的手段ではなく人の心理や行動の隙を突いて機密情報を盗む手法。最も不適切なもの(=ソーシャルエンジニアリングに当たらないもの)を選ぶ。
- ア(×=適切な例):シュレッダー屑をつなぎ合わせて情報を得る「トラッシング(スキャベンジング)」はソーシャルエンジニアリングの一種。
- イ(×=適切な例):操作画面の盗み見「ショルダーハッキング」もソーシャルエンジニアリングの一種。
- ウ(○=不適切なので正解):文字列を機械的・総当たりで試すのは「ブルートフォース攻撃」という技術的手法であり、人を欺くソーシャルエンジニアリングではない。
- エ(×=適切な例):利用者になりすまし管理者に電話してパスワードを聞き出す「なりすまし(プリテキスティング)」はソーシャルエンジニアリングの典型例。
よって、最も不適切な ウ が正解。