本文へスキップ

FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER

基本情報技術者の問題解説:ソーシャルエンジニアリングの例として適切なものはどれか。

テクノロジ系 標準 fe_a_s036_q005

問題

ソーシャルエンジニアリングの例として適切なものはどれか。

  1. バッファオーバーフローを悪用して権限を昇格する
  2. 電話で管理者を装い、ユーザからパスワードを聞き出す(正解)
  3. ブルートフォース攻撃でパスワードを総当たりする
  4. SQLインジェクションでデータベースに不正アクセスする
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

正解と解説

正解:電話で管理者を装い、ユーザからパスワードを聞き出す

考え方:ソーシャルエンジニアリングは、システムの技術的弱点ではなく、人の心理や行動の隙を突いて情報を入手する手法です。管理者や関係者になりすましてパスワードを聞き出す行為は典型例です。

誤答の理由:バッファオーバーフロー、ブルートフォース攻撃、SQLインジェクションはいずれも技術的な攻撃手法です。人をだまして情報を得るという観点がないため、ソーシャルエンジニアリングの例としては不適切です。

軽い類題:画面やキーボード操作をのぞき見るショルダーハッキング、捨てられた書類から情報を拾うトラッシングもソーシャルエンジニアリングに含まれる、と覚えておくと迷いません。

他の選択肢はなぜ違う?

  • バッファオーバーフローは技術的脆弱性の悪用。人の隙を突く手法ではない。
  • 総当たりは機械的な攻撃で、心理的な騙しがない。
  • SQLインジェクションも技術的攻撃。ソーシャルエンジニアリングは人間側を狙う。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。

公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。

参考範囲: シラバスVer.9.2参考

参考文献・出典(公式情報)

RELATED

関連問題