情報セキュリティ(全70問中4問目)
No.4解説へ
企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。
出典:令和5年春期 問89
- ゼロデイ攻撃
- ソーシャルエンジニアリング
- ソーシャルメディア
- トロイの木馬
広告
解説
- ゼロデイ攻撃は、OSやソフトウェアに脆弱性が存在することが明らかになった後、開発者からソフトウェアの修正プログラムが提供されるより前に、その脆弱性を悪用して行われる攻撃の総称です。
- 正しい。ソーシャルエンジニアリングは、情報通信技術の方法を用いるのではなく、人のミスや心理的な隙に付け込むことでパスワードなどの秘密情報を不正に取得する方法の総称です。関係者を装って電話でパスワードを聞き出す(なりすまし)、肩越しに画面やキー入力を見る(ショルダーハッキング)、プリンターやデスクやごみ箱に残された書類を漁る(トラッシング)などの行為がソーシャルエンジニアリングの代表例です。
- ソーシャルメディアは、従来からある情報を提供する側と情報を閲覧する側という形態ではなく、一般ユーザーが主体的に参加でき、双方向のコミュニケーションを行うことで社会的な結びつき要素が構築されるように設計されたメディアの総称です。ブログ、SNS、Twitterなどのサービスなどがその例です。
- トロイの木馬は、一見、無害で正常に動作している普通のプログラムのように見せかけ、裏ではユーザーのキーストロークを盗んだり、秘密情報を外部に送信したり、バックドアとして不正アクセスに加担したりするなどの攻撃を行うマルウェアのことです。
広告