本文へスキップ

FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER

基本情報技術者の問題解説:ソーシャルエンジニアリングの例はどれか。

テクノロジ系 標準 fe_a_s038_q001

問題

ソーシャルエンジニアリングの例はどれか。

  1. 電話で管理者を装いパスワードを聞き出す(正解)
  2. ブルートフォース攻撃でパスワードを総当たりする
  3. SQLインジェクションで不正アクセスする
  4. バッファオーバーフローで権限昇格する
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

正解と解説

正解:電話で管理者を装いパスワードを聞き出す

論点:ソーシャルエンジニアリングは、システムの脆弱性ではなく人間の心理や行動の隙を突いて、パスワードや機密情報を入手する攻撃手法です。管理者や取引先を装って電話をかけ、認証情報を聞き出す行為は典型例です。

ほかの選択肢:総当たりでパスワードを試すのはブルートフォース攻撃、入力欄からSQLを不正実行させるのはSQLインジェクション、メモリ領域を悪用するのはバッファオーバーフローです。技術攻撃か、人をだます攻撃かで切り分けると迷いません。

ほかの手口:ソーシャルエンジニアリングには電話以外にも、肩越しに画面やキー入力を盗み見るショルダーハッキング、ごみ箱の書類から情報を集めるトラッシング(スキャベンジング)などがあります。人をだます攻撃のため、ファイアウォールなどの技術対策では防ぎにくく、従業員教育や運用ルールでの対策が重要です。

他の選択肢はなぜ違う?

  • 総当たりは機械的な攻撃で、人の心理を突いていない。
  • SQLインジェクションは技術的脆弱性の悪用。
  • バッファオーバーフローも技術的攻撃。人間側を狙う手法ではない。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。

公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。

参考範囲: シラバスVer.9.2参考

参考文献・出典(公式情報)

RELATED

関連問題