ITパスポート 令和5年度 問89：securityに関する問題

答えは b「ソーシャルエンジニアリング」 です。

これはコンピュータを使ったハッキングではなく、「人の心のスキ」を突いて情報を盗む方法です。たとえば社員になりすまして電話で「パスワード教えて」と聞き出したり、ゴミ箱をあさって捨てられた書類から秘密を見つけたり。

つまり“だます・覗き見る”といった、技術ではなく人をだますやり口です。

👉 覚え方：ソーシャル＝人。「人をだまして聞き出す」のがソーシャルエンジニアリング。

ほかの選択肢：a ゼロデイ攻撃＝修正前のソフトの弱点を突く攻撃／c ソーシャルメディア＝SNSのこと（攻撃ではない）／d トロイの木馬＝役立つフリして忍び込む悪いプログラム。a・dはどちらも技術を使う攻撃です。

なぜこれが正解か

正解は b「ソーシャルエンジニアリング」。情報通信技術を使わず、人間の心理的な隙や行動のミスにつけ込んで機密情報を入手する手口の総称。なりすまし電話でのパスワード聞き出し、ゴミ箱から書類を漁るスキャベンジング（トラッシング）、背後からのショルダーハッキングなどが含まれる。

各選択肢の解説

• a ゼロデイ攻撃：修正パッチが提供される前の未知の脆弱性を突く技術的攻撃。
• c ソーシャルメディア：SNS等の情報発信・交流サービスで、攻撃手法ではない。
• d トロイの木馬：正規ソフトを装って侵入するマルウェアで、これも技術的手法。

覚え方・ひっかけ注意

キーワードは「技術を用いない」「なりすまし」「のぞき見」「ゴミ漁り」。これが出たら迷わずソーシャルエンジニアリング。対策はクリアデスク・シュレッダー・本人確認の徹底など“運用ルール”である点もセットで問われる。

理論的背景

ソーシャルエンジニアリングは「人間の心理・行動バイアスを攻撃ベクトルとして活用する」技術的手法を使わないサイバー攻撃の総称である。社会心理学の視点から、攻撃者が利用する主な心理バイアスとして以下が体系化されている：①権威（Authority）：上司・取引先・IT部門になりすまして従わせる。②希少性・緊急性（Scarcity/Urgency）：「今すぐ」「緊急」という圧力で判断力を低下させる。③親近感・類似性（Liking）：親しみやすい人物を装い警戒心を下げる。④互恵性（Reciprocity）：先に何かを提供して義務感を生じさせる。⑤コミットメント一貫性（Commitment）：一度小さく「はい」と言わせて後の大きな要求を承諾させる（フット・イン・ザ・ドア技法）。これらは社会心理学者Robert Cialdiniの「影響力の武器」（1984年）で理論化された説得原理であり、ソーシャルエンジニアリング研修ではこれらのバイアスへの認識が訓練の核となる。主な手口にプリテキスティング（口実を作った偽の状況設定）、スキャベンジング/トラッシング（廃棄物からの情報収集）、ショルダーハッキング（肩越しの盗み見）、テールゲーティング/ピギーバッキング（正規者に続いて入室する共連れ侵入）が含まれる。

実務での使われ方

現代のソーシャルエンジニアリングは生成AIによる高度化が著しく進んでいる。BEC（Business Email Compromise: ビジネスメール詐欺）では経営幹部や取引先を装ったメールで振込詐欺を行うが、生成AIを用いた自然な文体・文化的ニュアンスの正確な模倣により、従来の言語的チェックによる検知が困難になっている。さらに音声クローン技術を用いたVishing（Voice Phishing）では実在する上司・役員の声を模倣した電話で緊急送金を要求する事件が欧米で実際に発生し億円規模の被害が出ている。ディープフェイクビデオによるビデオ通話詐欺も報告されており、「電話・ビデオで本人確認できる」という前提が崩れつつある。組織の対策としては技術的手段（フィッシング対策メールフィルタ・DMARC設定）だけでなく、定期的な疑似フィッシング訓練・コールバックによる本人確認手順の徹底・機密情報の複数人承認プロセスが不可欠である。

試験での位置づけ

ソーシャルエンジニアリングはITパスポートのセキュリティ分野で「技術的脅威vs人的脅威」の分類問題として安定して出題される。本問の「技術的手法を用いない」という限定句がソーシャルエンジニアリングを識別する決定的なキーワードである。近年の出題トレンドとして、フィッシングとソーシャルエンジニアリングの関係（フィッシングはメール・Webという技術媒体を使うが本質は人を騙すソーシャルエンジニアリング）や、内部不正とソーシャルエンジニアリングを組み合わせた複合的な脅威シナリオが問われるようになっている。情報セキュリティマネジメント試験（SG）では従業員教育・訓練計画、インシデント報告手順、セキュリティポリシーの周知方法といった組織的対策の設計まで問われる。基本情報技術者ではゼロデイ攻撃の脆弱性管理（CVSSスコアリング・パッチ管理）とソーシャルエンジニアリングを攻撃フェーズの文脈で組み合わせた問題が出る。

選択肢の発展補足

選択肢aのゼロデイ攻撃（Zero-day Attack）は修正パッチが公開される前（Day 0）の脆弱性を悪用する攻撃であり、CVE（Common Vulnerabilities and Exposures）に登録された脆弱性ではなく、まだ誰も対策できていない未知の脆弱性が標的となる。防御がほぼ不可能なため、NSAや各国諜報機関がゼロデイ脆弱性情報を高額（数百万〜数億円）で取引しているとされる。ゼロデイ対策としてはパッチ管理の徹底に加えて「仮定侵害（Assume Breach）」前提のゼロトラストアーキテクチャや行動分析（UEBA）が有効とされる。選択肢cのソーシャルメディアはSNS等の情報共有プラットフォームであり、攻撃ツールではないが攻撃者が標的の個人情報（勤務先・役職・家族・趣味等）をOSINT（Open Source Intelligence）として収集するためにソーシャルメディアを利用するという関連性がある。LinkedIn・Facebook等での「何気ない投稿」が標的型攻撃（スピアフィッシング）の準備情報になりうるという点は個人のセキュリティリテラシーとして重要である。選択肢dのトロイの木馬はギリシャ神話に由来する名称で、正規・有用なソフトウェアを装って侵入するマルウェアである。ウイルス（宿主ファイルへの寄生）・ワーム（自己増殖）との違いは「自己増殖せず正規プログラムに偽装する」点にあり、リモートアクセス機能を持つRAT（Remote Access Trojan）は侵入後のバックドア設置にも使われる。