攻撃手法
情報セキュリティマネジメント試験「ソーシャルエンジニアリング」の問題
攻撃者が情報システム部員になりすまして利用者に電話をかけ、「障害調査のため」と称してパスワードを聞き出した。この攻撃の分類として最も適切なものはどれか。
ア脆弱なパスワードに対し総当たりで文字列を試行するブルートフォース攻撃。
イ通信経路上に割り込み送受信内容を盗み見る中間者(MITM)攻撃。
ウ人の心理や行動の隙を突いて情報を聞き出すソーシャルエンジニアリング。
エ正規サイトに似せた偽サイトへ誘導し入力情報を奪うフィッシング。
正解
ウ.人の心理や行動の隙を突いて情報を聞き出すソーシャルエンジニアリング。
ソーシャルエンジニアリングは技術ではなく人間の油断・親切心・権威への服従などを悪用して情報を引き出す。なりすまし電話による聞き出しはその代表例である。
?選択肢ごとの解説
ア ×ブルートフォースは計算機で機械的に試行する攻撃で、人をだまして直接聞き出す本問の手口とは性質が異なる。
イ ×中間者攻撃は通信の傍受・改ざんであり、電話で本人から聞き出す対人的手口とは攻撃面が異なる。
ウ ○ソーシャルエンジニアリングは技術ではなく人間の油断・親切心・権威への服従などを悪用して情報を引き出す。なりすまし電話による聞き出しはその代表例である。
エ ×フィッシングは偽サイトやメールで入力させる手口で、なりすまし電話による聞き出しとは経路が異なる。
攻撃手法の他の問題
特定企業を狙い、業務に関係する内容を装ったメールに不正な添付ファイルを付けて送り、長期間にわたり潜伏して情報を窃取しようとす…ソフトウェアの脆弱性が公表され修正プログラムが提供されるより前に、その脆弱性を悪用して行われる攻撃を何というか。実在する銀行を装ったメールで偽のログイン画面へ誘導し、入力された口座番号と暗証番号を盗み取ろうとする手口はどれか。あるアカウントに対し、考えうる文字の組合せを片端から自動で試し続けてパスワードを破ろうとする攻撃はどれか。多数の機器から大量の通信を一斉に送りつけてサーバを過負荷にし、正規の利用者がサービスを使えない状態に陥れる攻撃はどれか。Webアプリの入力欄に不正なSQL文の断片を紛れ込ませ、データベースを意図せず操作して情報を盗み出したり改ざんしたりする攻撃…
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a1-0003
