経営情報システム 平成30年 第23問 - ソーシャルエンジニアリング

ピックアップ過去問解説

問題

 近年、機密情報への攻撃の手法が多様化している。機密情報を不正に入手する手法であるソーシャルエンジニアリングに関する記述として、最も不適切なものはどれか


ア シュレッダーで処理された紙片をつなぎ合わせて、パスワードを取得する。

イ パソコンの操作画面を盗み見して、パスワードを取得する。

ウ 文字列の組み合わせを機械的かつ総当たり的に試すことで、パスワードを取得する。

エ ユーザになりすまして管理者に電話し、パスワードを取得する。

解答・解説

解答:ウ

  経営情報システムから、セキュリティリスクのうち、ソーシャルエンジニアリングについての問題です。ソーシャルエンジニリングについてその特徴を覚えていた人は、正解できる問題です。

まずは、ソーシャルエンジニアリングについて簡単に復習しておきましょう。

ソーシャルエンジニアリングは、人間の不注意や間違いにつけこんだり、盗み聞きなどを利用したりする人的脅威であり、非技術的な方法で情報を不正に入手する手口のことです。

 ここまでを押さえた上で、順番に記述を見ていきましょう。

 選択肢アは、シュレッダーで処理された紙片をつなぎ合わせ、パスワードを盗み取る手法について問われています。

このような手法は、非技術的な手法であり、ソーシャルエンジニアリングに関する記述としては適切です。


 選択肢イは、パソコンの操作画面を覗いて、パスワードを盗み見る手法について問われています。

このような手法は、非技術的な手法であり、ソーシャルエンジニアリングに関する記述としては適切です。


 選択肢ウは、文字列の組み合わせを機械的かつ総当たり的に試すことで、パスワードを取得する手法について問われています。この手法は「総当たり攻撃」と呼ばれるもので、コンピュータを使って自動的に、無数の文字列の組み合わせを入力していくものです。よってソーシャルエンジニアリングに関する記述としては不適切であり、これが正解です。

参考として、残りの選択肢も見ておきましょう。


 選択肢エは、ユーザになりすまし、管理者からパスワードを取得する手法について問われています。

このような手法は、非技術的な手法であり、ソーシャルエンジニアリングに関する記述としては適切です。


以上より、ウが正解となります。

セキュリティリスクに関する出題は増加傾向にありますので、きちんと押さえておくようにしましょう。

学習するには

経営情報システム

 4-4インターネットとセキュリティ

基礎から着実に
学びたい方におすすめ!

中小企業診断士 1次2次合格コース

中小企業診断士 1次2次合格コース
[2024+2025年度試験対応]

一括 53,900円~
分割例 月々 4,600円 × 12回~

基礎から合格レベルまで着実に学べるストレート合格を目指す方に最適なコースです。重要なポイントを凝縮した「学習マップ」で知識を体系的に整理しながら効率よく学習することができます。詳細はこちら

すべてのコースを見る

中小企業診断士のオンライン講座を、今すぐ無料でお試しできます!

今すぐ使える!3つの特典

  • 最短合格を目指す戦略がわかるセミナー!
    「短期合格の戦略」をいますぐ視聴!
  • 合格者多数輩出講座の初回版を実際に体験!
  • フルカラーだからわかりやすい
    初回版学習マップ&テキストをプレゼント!
さらに
「中小企業診断士 加速合格法」
試験突破のノウハウを凝縮!
学習をいますぐスタートできる
加速合格法をプレゼント!
無料お試しはこちら
お申込み後すぐに受講が試せる!
自動契約・更新はありません
お得に受講できる10%クーポン付き