ITパスポートの過去問
平成28年度 春期
テクノロジ系 問86

本設問は、『ソーシャルエンジニアリングの例として、適切なもの』　について、適切な選択肢を選ぶ問題です。

適切さを求める問題は、より正解に近いものを選び出す判断能力が問われています。
正答率を高めるには、設問にあるソーシャルエンジニアリングについての知識が必要となります。

ここで言われるソーシャルエンジニアリング（Social Engineering）とは、技術的要素を用いずに、人間の心理的な弱みや、意識の盲点をついて、不正に情報を入手する行為全般を指す言葉と考えられます。

それぞれの選択肢を読むと、選択肢1.以外は、すべて技術的な方法で情報を不正に入手していることが伺えます。

そのため、正解としては、選択肢1.の『社員を装った電話』による犯行が考えられます。

ソーシャルエンジニアリング(Social Engineering)とは、技術的な方法ではなく、盗み聞き、盗み見など、人の心理的ミスによってIDやパスワードを盗み出し、不正に機密情報を入手することをいいます。

したがって、1の「社員を装った電話を社外からかけて、社内の機密情報を聞き出す」が正解となります。

ソーシャルエンジニアリングとは、あたかも正規の問い合わせを装って情報を抜き取ろうとする行為です。

選択肢をひとつずつ見ていきましょう。

１．社員を装った電話をかけて機密情報を抜き出そうとする行為は、ソーシャルエンジニアリングです。よって、正解です。

２．送信元IPアドレスを偽装すること、パケットフィルタリングをすり抜けようとする行為です。ソーシャルエンジニアリングとは無関係のため、誤りです。

３．ネットワーク上のパケットを盗聴する行為です。ソーシャルエンジニアリングとは無関係のため、誤りです。

４．不正な動作をするソフトウェアをダウンロードさせてウイルスを拡散させる行為です。ソーシャルエンジニアリングとは無関係のため、誤りです。