中小企業診断士の過去問
平成30年度（2018年）
経営情報システム問23

付箋

イエロー
グリーン
ブルー
レッド

付箋は自分だけが見れます（非公開です）。

このページは閲覧用ページです。
履歴を残すには、「新しく出題する（ここをクリック）」をご利用ください。

問題

中小企業診断士試験第1次試験経営情報システム　平成30年度（2018年）　問23 （訂正依頼・報告はこちら）

近年、機密情報への攻撃の手法が多様化している。機密情報を不正に入手する手法であるソーシャルエンジニアリングに関する記述として、最も不適切なものはどれか。

シュレッダーで処理された紙片をつなぎ合わせて、パスワードを取得する。
パソコンの操作画面を盗み見して、パスワードを取得する。
文字列の組み合わせを機械的かつ総当たり的に試すことで、パスワードを取得する。
ユーザになりすまして管理者に電話し、パスワードを取得する。

次の問題へ

正解！素晴らしいです

残念...

この過去問の解説（2件）

ソーシャルエンジニアリングとは、技術的な方法ではなくユーザーIDやパスワードなど重要なセキュリティ情報を盗み見たりなりすましなどの心理的な手段で収集する方法の総称です。

選択肢1、2、4はソーシャルエンジニアリングに分類されます。一方で選択肢3は総当たり攻撃(ブルーとフォースアタック)と呼ばれ、セキュリティ情報を盗み見たりするようなソーシャルエンジニアリングとは区別されます。

したがって、不適切な選択肢は3となります。

参考になった数13

この解説の修正を提案する

次の問題は下へ

「不適切」な選択肢を選ばせる指示になっていることに注意して下さい。

ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。（出所：総務省ホームページ）

選択肢1. シュレッダーで処理された紙片をつなぎ合わせて、パスワードを取得する。

「トラッシング」と呼ばれるソーシャルエンジニアリングの一つです。

選択肢2. パソコンの操作画面を盗み見して、パスワードを取得する。

「ショルダーハッキング」と呼ばれるソーシャルエンジニアリングの一つです。

選択肢3. 文字列の組み合わせを機械的かつ総当たり的に試すことで、パスワードを取得する。

ソーシャルエンジニアリングに該当せず、不適切な選択肢となります。

選択肢4. ユーザになりすまして管理者に電話し、パスワードを取得する。