メインコンテンツへ
セキュリティソーシャルエンジニアリング

ソーシャルエンジニアリング攻撃の例として最も適切なものはどれか。

ア.Webサーバの脆弱性を利用し、悪意のあるコードを送り込んでサーバを乗っ取る。
イ.ネットワーク上を流れるパケットをキャプチャし、平文で送信されたパスワードを盗み取る。
ウ.OSの既知の脆弱性を悪用するエクスプロイトコードを実行し、管理者権限を取得する。
エ.IT担当者を装って電話をかけ、「緊急メンテナンス」と称してパスワードの口頭開示を要求する。正解

解説

ソーシャルエンジニアリングは「技術を使わない詐欺」のようなもの。コンピュータではなく「人間の心理」をハッキングします。電話詐欺が一番わかりやすい例です。

なぜ エ が正解か

ソーシャルエンジニアリングは、技術的な脆弱性を突くのではなく、人間の心理・信頼・社会規範を利用して情報を不正取得する攻撃手法です。代表例:①電話詐欺(IT担当者・上司を装う)、②なりすましメール(フィッシング)、③ゴミ箱あさり(トラッシング)、④肩越し覗き見(ショルダーハッキング)。エが唯一人間の心理を突いた攻撃例です。

なぜ ア は間違いか

Webサーバの脆弱性を悪用するのは技術的な攻撃(コードインジェクション等)であり、ソーシャルエンジニアリングではありません。

なぜ イ は間違いか

パケットキャプチャによる盗聴は技術的な攻撃(盗聴攻撃/スニッフィング)であり、人間心理を利用していないためソーシャルエンジニアリングではありません。

なぜ ウ は間違いか

エクスプロイトコードによる権限昇格は技術的な攻撃であり、ソーシャルエンジニアリングではありません。

出典: AI生成問題(学習用)