TEST MODE
試験問題に挑戦する

正解ア

あなたの回答　

問題を見る

解説を読む

ソーシャルエンジニアリングに該当するものはどれか。

出典：平成29年度春期情報セキュリティマネジメント試験問21

セキュリティ
情報セキュリティ

ア

オフィスから廃棄された紙ごみを、清掃員を装って収集して、企業や組織に関する重要情報を盗み出す。

イ

キー入力を記録するソフトウェアを、不特定多数が利用するPCで動作させて、利用者IDやパスワードを窃取する。

ウ

日本人の名前や日本語の単語が登録された辞書を用意して、プログラムによってパスワードを解読する。

エ

利用者IDとパスワードの対応リストを用いて、プログラムによってWebサイトヘのログインを自動的かつ連続的に試みる。

次の問題へ進む

解説

ソーシャルエンジニアリングに関する問題です。

ソーシャルエンジニアリングとは、人間の心理的な隙や行動の習慣を利用し、情報を不正に取得する手法です。
技術的な攻撃ではなく、人間の信頼や不注意を悪用する点が特徴です。

【ア】○：適切
清掃員などを装い、廃棄された紙ごみから機密情報を盗む行為は、典型的なソーシャルエンジニアリングの手法です。これを「スキャベンジング（トラッシング）」とも呼びます。

【イ】×：不適切
キー入力を記録するソフトウェア（キーロガー）を使う行為は、技術的な攻撃であり、ソーシャルエンジニアリングではなくマルウェア攻撃に分類されます。

【ウ】×：不適切
辞書攻撃は、登録された単語リスト（辞書）を使ってパスワードを推測する技術的な攻撃手法であり、ソーシャルエンジニアリングには該当しません。

【エ】×：不適切
利用者IDとパスワードのリストを使って自動的にログイン試行を行う行為は「クレデンシャルスタッフィング」と呼ばれる技術的な攻撃手法であり、ソーシャルエンジニアリングではありません。

よって【ア】が正解となります。