令和4年度91テクノロジ系

ITパスポート 令和4年度 問91:情報セキュリティ・攻撃手法に関する問題

ソーシャルエンジニアリングに該当する行為の例はどれか。

  • aあらゆる文字の組合せを総当たりで機械的に入力することによって、パスワードを見つけ出す。
  • b肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する。正答
  • c標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって、サービスの提供を妨げる。
  • dプログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ、不正にプログラムを実行させる。
正答:B肩越しに盗み見して入手したパスワードを利用し、他人になりすましてシステムを不正利用する。

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは b です。

ソーシャルエンジニアリングとは、コンピュータを攻撃するのではなく、“人間の隙”をついて情報を盗む手口のこと。後ろからこっそり画面をのぞき見してパスワードを盗む、などが代表例です。

bはまさに「肩越しにのぞき見してパスワードを盗む」なので、これが該当します。

👉 覚え方:「ソーシャル=人がターゲット(機械じゃない)」。

ほかの選択肢:a 総当たりでパスワード当て/c 大量アクセスでサーバをパンクさせる/d データをあふれさせて乗っ取る。これらは全部“技術で機械を攻める”手口です。

標準試験対策の基準レベル

なぜこれが正解か

正解は b。ソーシャルエンジニアリングは、技術的手段ではなく人間の心理や行動の隙を突いて機密情報を入手する手口。肩越しにパスワードを盗み見る「ショルダーハッキング」はその典型例。

各選択肢の解説

  • a 総当たりでパスワードを見つける=ブルートフォース攻撃(技術的攻撃)。
  • c 大量リクエストで過負荷にする=DoS攻撃(技術的攻撃)。
  • d 領域を超えるデータでバッファをあふれさせる=バッファオーバーフロー攻撃(技術的攻撃)。

覚え方・ひっかけ注意

「ソーシャル=人を狙う非技術的手口」。のぞき見・なりすまし電話・ゴミ箱あさり(トラッシング)が代表例。選択肢に“機械・プログラムへの技術攻撃”が並ぶ中、唯一「人」を狙うものを選ぶのがコツ。

上級誤答論破・背景理論まで深掘り

理論的背景

ソーシャルエンジニアリングは、技術的な脆弱性ではなく「人間の心理・行動・信頼関係」を利用した情報窃取手法の総称だ。1990年代にハッカーのケビン・ミトニック(Kevin Mitnick)が著作「The Art of Deception」(欺術)でその体系を広め、IT世界に概念として定着させた。人は権威・緊急性・互恵性・希少性・好意・社会的証明といった心理的バイアスに弱く、これを巧みに利用する。本問の選択肢b(肩越しにパスワードをのぞき見る「ショルダーハッキング」)はその最もシンプルな例で、技術的な手段を一切使わずに物理的な観察だけで認証情報を盗む。ソーシャルエンジニアリングが技術的攻撃(a・c・d)と根本的に異なるのは、「人間の注意力・判断力の隙」を標的とするため、どれほどシステムのセキュリティを強固にしても対策が困難な点だ。

実務での使われ方

現代の標的型攻撃では、ソーシャルエンジニアリングが技術的攻撃の前段として使われるケースが多い。BEC(Business Email Compromise:ビジネスメール詐欺)では、経営層になりすましたメールで経理担当者を騙し不正送金させる手口で、2023年のFBIの報告によると全世界の被害額は年間数兆円規模に上る。プリテキスティング(pretexting:架空のシナリオを作ってターゲットを操る)は、IT支援者・税務署員・金融機関を装った電話や訪問で情報を引き出す。スピアフィッシング(特定個人を狙ったフィッシング)では、SNSから収集した個人情報(勤務先・上司の名前・最近の出来事)を組み込んだ巧妙な偽メールが送られる。対策は技術的には限界があり、セキュリティ教育・訓練(フィッシングメール疑似訓練等)・手順の徹底(電話での本人確認フロー等)・クリアデスク・シュレッダー義務化が中心となる。

試験での位置づけ

情報セキュリティ分野の最頻出テーマの一つで、「技術的攻撃 vs 非技術的攻撃(ソーシャルエンジニアリング)」の切り分けが毎年問われる。本問のように具体的な行為の説明から攻撃名を特定する形式が定番で、ショルダーハッキング・トラッシング・なりすまし電話・フィッシングがソーシャルエンジニアリングの代表例として覚えるべき内容だ。各攻撃手法(ブルートフォース・DoS・DDoS・バッファオーバーフロー・SQLインジェクション・クロスサイトスクリプティング・ランサムウェア・マルウェア全般)と並べて整理しておくと、類題の全パターンに対応できる。基本情報技術者・支援士では、ソーシャルエンジニアリングの対策措置(教育・規則・入退室管理・廃棄手順)まで問われる。

選択肢の発展補足

選択肢a(ブルートフォース攻撃):総当たりでパスワードを機械的に試す純粋な技術攻撃。アカウントロックアウト(一定回数失敗でアカウントを停止)が有効な対策だ。リバースブルートフォース(1つのパスワードで多数のアカウントを試す)は検知を難しくするバリアント。選択肢c(DoS/DDoS攻撃):Denial of Service。分散型はDDoS(Distributed Denial of Service)で、大量のマシン(ボットネット)から同時に攻撃する。近年はサービスを完全に停止させるのでなく「サービス品質を低下させる」程度の持続的なDDoS攻撃が増えている。選択肢d(バッファオーバーフロー):確保済みメモリ領域を超えるデータを入力することで隣接メモリを上書きし、戻りアドレスを書き換えて任意コードを実行させる古典的脆弱性。対策はDEP(Data Execution Prevention)・ASLR(Address Space Layout Randomization)・スタックカナリアの組み合わせで、現代のコンパイラやOSに標準で実装されている。

出典・引用について

出典:IPA(情報処理推進機構)公式 ITパスポート試験 令和4年度91/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

55
security
56
database
57
database
58
technology_element
59
network

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビならITパスポートの過去問を解きながら学べます。