平成26年秋期試験問題 問63

リスク対策のうち,ソーシャルエンジニアリングへの対策に該当するものはどれか。

  • 電子メールは,メールサーバでウイルス検査をしてから配信する。
  • 電力供給の停止に備えて,自家発電装置を設置する。
  • 電話で重要情報を伝達するときの方法を定めて,その手順に従って行う。
  • 入荷物は,受取場所で危険物が含まれないことを検査してから使用場所へ移す。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策・実装技術
解説
ソーシャルエンジニアリングは、技術的な方法ではなく、人の心理的な弱みやミスに付け込んで、パスワードなどの秘密情報を不正に取得する方法の総称です。

ソーシャルエンジニアリングの例として以下の行為があります。
なりすまし
管理者や関係者になりすまして秘密情報を不正取得する
ショルダーハッキング
モニター画面やキーボード操作を利用者の背後から盗み見て、ログイン情報等を不正取得する
トラッシング(スカベンジング)
ゴミ箱に捨てられているメモや書類を漁って秘密情報を不正取得する
のぞき見
FAXやプリンターに残された印刷物、オフィス内のメモ・付箋、机の上に放置された書類等から秘密情報を不正取得する
ソーシャルエンジニアリングの手口の中には、管理者や警察、弁護士や経営者になりすまして電話口で秘密情報の窃取を試みるものがあります。「ウ」の対策のように伝達方法を決め、その手順に従って行動することでソーシャルエンジニアリングの被害に遭うリスクを低減できます。

Pagetop