2022 サンプル問題30テクノロジ系

基本情報 2022 サンプル問題 問30:テクノロジ系に関する問題

緊急事態を装って組織内部の人間からパスワードや機密情報を入手する不正な行為 は,どれに分類されるか。

  • aソーシャルエンジニアリング正答
  • bトロイの木馬
  • c踏み台攻撃
  • dブルートフォース攻撃 - 18 -
正答:Aソーシャルエンジニアリング

AI解説(初心者・標準・上級)

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは a「ソーシャルエンジニアリング」 です。

ハッキングって、難しいプログラムを使うイメージありますよね。でも実は「人をだまして情報をもらう」やり方もあって、これをソーシャルエンジニアリングといいます。

たとえば「緊急です!システム障害で確認したいのでパスワード教えてください!」と上司や IT 担当者になりすまして電話してくる…これがまさにこの手口。技術ではなく「人の心のスキ」を狙うのが特徴です。

👉 覚え方:ソーシャル=人(社会)/エンジニアリング=工作。「人をだます工作」と覚える。

ほかの選択肢:b トロイの木馬=便利アプリのフリした悪いソフト/c 踏み台攻撃=他人のパソコンを経由して攻撃/d ブルートフォース=パスワードを総当たりで試す力任せ攻撃。

標準試験対策の基準レベル

なぜこれが正解か

正解は a。ソーシャルエンジニアリング(social engineering)は、技術的手段ではなく、人間の心理的隙や社会的信頼関係を悪用して機密情報を入手する攻撃手法。緊急事態を装ったなりすまし電話、肩越し覗き見(ショルダーハック)、ゴミ漁り(スキャベンジング/トラッシング)、なりすましメール(ビジネスメール詐欺)等が代表例。

各選択肢の解説

  • b トロイの木馬:正規ソフトに偽装して侵入し、内部で悪意ある動作を行うマルウェア。技術的攻撃。
  • c 踏み台攻撃:他人のサーバや端末を経由して攻撃元を隠蔽する手法。技術的攻撃。
  • d ブルートフォース攻撃:パスワードを総当たりで試行する力任せの攻撃。技術的攻撃。

覚え方・ひっかけ注意

緊急事態を装う/組織内部の人間から/パスワードや機密情報を入手」というキーワードがソーシャルエンジニアリングの核心。人を狙う=ソーシャル、機械を狙う=技術的攻撃で覚える。

対策は技術ではなく教育・運用が中心:

  • パスワードを口頭・メールで聞き出す依頼を疑う運用ルール
  • 入退室管理・クリアデスク・スクリーンロック
  • 標的型攻撃メール訓練(フィッシング演習)
  • 廃棄文書の溶解処理
上級誤答論破・背景理論まで深掘り

理論的背景

ソーシャルエンジニアリングは人間の認知バイアス・社会的影響原理を体系的に悪用する攻撃。心理学者 Robert Cialdini の「影響力の武器」6原理(返報性/コミットメント/社会的証明/好意/権威/希少性)が攻撃テクニックの基盤として知られる。Kevin Mitnick(伝説的ハッカー)が著書『欺術』で実例を体系化した。

主な手口:

  • プリテキスティング(Pretexting):偽の状況設定で情報を引き出す(IT 担当者を装う等)
  • フィッシング:メールや SMS で偽サイトに誘導(スピアフィッシング=特定個人標的、ホエーリング=経営層標的)
  • ビジネスメール詐欺(BEC):取引先や経営者になりすまし送金指示
  • ベイティング:USB メモリを意図的に放置(拾った人が興味でPCに挿す)
  • ショルダーハック/スキャベンジング/ピギーバック(共連れ入室)
  • ボイスフィッシング(ヴィッシング):電話で銀行員などに偽装
  • ディープフェイク音声・映像による経営者なりすまし(近年急増、2024年香港で2,500万米ドル詐取事例)

実務での使われ方(防御側視点)

  • 多層防御:技術的対策(MFA、メールフィルタ、DMARC)+ 人的対策(教育・訓練)+ 組織的対策(職務分掌、二重承認)。
  • ISMS(ISO/IEC 27001):人的セキュリティ管理策(A.6.7、A.7.x)に従業員教育・規律手続を規定。
  • NIST SP 800-50/SP 800-61:セキュリティ教育・インシデント対応標準。
  • ペネトレーションテストの一環:レッドチームによる物理侵入・ソーシャル工学テスト。
  • 法的観点:個人情報保護法、不正アクセス禁止法、刑法246条(詐欺罪)・247条(背任罪)が関連。

試験での位置づけ

基本情報・応用情報・情報処理安全確保支援士の情報セキュリティ分野で頻出。マルウェア種別(ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア)攻撃手法(DoS/DDoS・SQLインジェクション・XSS・CSRF)ソーシャルエンジニアリングの個別手口を体系的に整理する出題が多い。応用情報・支援士では標的型攻撃のキルチェーン(Lockheed Martin Cyber Kill Chain)MITRE ATT&CK フレームワークの Initial Access 戦術における Social Engineering 系手法まで深く問われる。

選択肢の発展補足

  • b トロイの木馬:RAT(Remote Access Trojan)ドロッパーバックドア等の派生。Emotet・TrickBot 等の実例。
  • c 踏み台攻撃:Stepping Stone Attack。多段プロキシ・Tor・VPN でアトリビューション困難化。C2サーバを経由した制御も含む。
  • d ブルートフォース:派生に辞書攻撃(Dictionary Attack)、クレデンシャルスタッフィング(漏洩済みアカウント使い回し試行)、パスワードスプレー(少数パスワードを多数アカウントに)。対策はアカウントロック、レート制限、CAPTCHA、MFA、Passkey(FIDO2)。
  • 近年の融合トレンド:技術+ソーシャルのハイブリッド攻撃(フィッシングでマルウェア感染→ランサム)が主流。Defense in Depth の重要性が高まる。
出典・引用について

出典:IPA(情報処理推進機構)公式 基本情報技術者試験 2022 サンプル問題30/ 公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。

テクノロジ系の他の過去問

1
テクノロジ系
2
テクノロジ系
3
テクノロジ系
4
テクノロジ系
5
テクノロジ系

あなたの弱点を診断して、合格までの最短ルートを

この分野を連続演習し、AIがあなたの弱点を分析。合格ナビなら基本情報の過去問を解きながら学べます。