サンプル問題 [科目A]問30
問30
緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為は,どれに分類されるか。
- ソーシャルエンジニアリング
- トロイの木馬
- 踏み台攻撃
- ブルートフォース攻撃
- [出題歴]
- 情報セキュマネ H28秋期 問25
分類
テクノロジ系 » セキュリティ » 情報セキュリティ
正解
ア
解説
ソーシャルエンジニアリング(Social Engineering)は、技術的な方法によるのではなく、人の心理的な弱みやミスに付け込んでパスワードなどの秘密情報を不正に取得する行為の総称です。
ソーシャルエンジニアリングの例として以下の行為があります。
ソーシャルエンジニアリングの例として以下の行為があります。
- なりすまし
- 管理者や関係者になりすまして秘密情報を不正取得する
- ショルダーハッキング
- モニター画面やキーボード操作を利用者の背後から盗み見て、ログイン情報等を不正取得する
- トラッシング(スカベンジング)
- ゴミ箱に捨てられているメモや書類を漁って秘密情報を不正取得する
- のぞき見
- FAXやプリンターに残された印刷物、オフィス内のメモ・付箋、机の上に放置された書類等から秘密情報を不正取得する
- 正しい。ソーシャルエンジニアリングの手口である「なりすまし」に該当します。
- トロイの木馬は、一見、無害で正常に動作している普通のプログラムのように見せかけ、裏ではユーザーのキーストロークを盗んだり、秘密情報を外部に送信したり、バックドアとして不正アクセスに加担したりするなどの攻撃を行うマルウェアのことです。
- 踏み台攻撃は、インターネット上にある多数のコンピュータに対して、あらかじめ攻撃プログラムを仕掛けておき、攻撃者からの命令で対象のサーバを攻撃させる手法です。意識しないうちに攻撃者から操作され、攻撃に加担させられてしまうことを「踏み台にされる」といいます。
- ブルートフォース攻撃は、パスワードクラックや暗号鍵の解読に用いられる手法の1つで 、特定の文字数および文字種で設定される可能性のある全ての組合せを試すことでパスワードクラックを試みる攻撃手法です。