セキュリティ
ITパスポート試験「情報セキュリティ」の問題
企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。
アゼロデイ攻撃
イソーシャルエンジニアリング
ウソーシャルメディア
エトロイの木馬
正解
イ.ソーシャルエンジニアリング
ソーシャルエンジニアリングは、マルウェアや不正アクセスなどの技術的手法を一切使わず、人間の信頼・好奇心・権威への服従といった心理的弱点を突いてパスワードや機密情報を引き出す攻撃手法である。従業員へのなりすまし電話・ショルダーハッキング(覗き見)・トラッシング(ゴミ箱漁り)はすべてこの類型に属する。
?選択肢ごとの解説
ア ×ゼロデイ攻撃は、ソフトウェアの脆弱性がベンダーに発見・修正される前(ゼロ日目)に悪用する技術的なサイバー攻撃であり、システムやコードへの侵入を伴う。
イ ○ソーシャルエンジニアリングは、マルウェアや不正アクセスなどの技術的手法を一切使わず、人間の信頼・好奇心・権威への服従といった心理的弱点を突いてパスワードや機密情報を引き出す攻撃手法である。従業員へのなりすまし電話・ショルダーハッキング(覗き見)・トラッシング(ゴミ箱漁り)はすべてこの類型に属する。
ウ ×ソーシャルメディアはSNS等のオンラインコミュニティサービスの総称であり、攻撃手法ではない。ソーシャルの字が共通するため混同されやすいが、全く別の概念である。
エ ×トロイの木馬は、正規のソフトウェアを装って利用者にインストールさせるマルウェアの一種であり、技術的な侵入手法である。
セキュリティの他の問題
PC内のファイルを暗号化して使用不能にし,復号するためのキーと引換えに金品を要求するソフトウェアを何と呼ぶか。ISMSにおける情報セキュリティリスクの取扱いに関する"リスク及び機会に対処する活動"には,リスク対応,リスク評価,リスク分…コンピュータなどのアカウントに設定するパスワードに関し,使用する文字種や長さなどの条件を定めたものはどれか。人の心理的な隙や不注意に付け込んで機密情報などを不正に入手する手法はどれか。公開鍵暗号方式と共通鍵暗号方式において,共通鍵暗号方式だけがもつ特徴として,適切なものはどれか。全社を適用範囲としてISMSを導入する場合の情報セキュリティ方針に関する記述のうち,適切なものはどれか。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →ITパスポート試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · ITパスポート試験 · itpass-r5k-q89
