5-1 情報資産と脅威
令和5年度公開問題 問89
企業の従業員になりすましてIDやパスワードを聞き出したり,くずかごから機密情報を入手したりするなど,技術的手法を用いない攻撃はどれか。
- ア ゼロディ攻撃
- イ ソーシャルエンジニアリング
- ウ ソーシャルメディア
- エ トロイの木馬
解答 イ
【頭の準備体操】
ソーシャルエンジニアリングは,コンピュータを使わずに人の心理や行動の隙を突いて機密情報を入手すること。
- ア ソフトウェアの修正プログラム(パッチという)が提供される前に脆弱性を突く攻撃。0日攻撃。
- イ 正解
- ウ 人々がインターネット上で交流するプラットフォーム。
- エ 見かけ上は有用に見えるが,実際には悪意の機能をもつマルウェア。
令和6年度公開問題 問73
IoT機器のセキュリティ対策のうち,ソーシャルエンジニアリング対策として,最も適切なものはどれか。
- ア IoT機器とサーバとの通信は,盗聴を防止するために常に暗号化通信で行う。
- イ IoT機器の脆弱性を突いた攻撃を防止するために,機器のメーカーから最新のファームウェアを入手してアップデートを行う。
- ウ IoT機器へのマルウェア感染を防止するためにマルウェア対策ソフトを導入する。
- エ IoT機器を廃棄するときは,内蔵されている記憶装置からの情報漏えいを防止するために物理的に破壊する。
解答 エ
【頭の準備体操】
ソーシャルエンジニアリングは,コンピュータを使わずに人の心理や行動の隙を突いて機密情報を入手すること。
- ア 技術的脅威(通信の盗聴)に対する対策
- イ 技術的脅威(脆弱性を突いた攻撃)に対する対策
- ウ 技術的脅威(マルウェア)に対する対策
- エ 正解
令和4年度公開問題 問91
ソーシャルエンジニアリングに該当する行為の例はどれか。
- ア あらゆる文字の組合せを総当たりで機械的に入力することによって,パスワードを見つけ出す。
- イ 肩越しに盗み見して入手したパスワードを利用し,他人になりすましてシステムを不正利用する。
- ウ 標的のサーバに大量のリクエストを送りつけて過負荷状態にすることによって,サービスの提供を妨げる。
- エ プログラムで確保している記憶領域よりも長いデータを入力することによってバッファをあふれさせ,不正にプログラムを実行させる。
解答 イ
【頭の準備体操】
ソーシャルエンジニアリングは,コンピュータを使わずに人の心理や行動の隙を突いて機密情報を入手すること。
- ア ブルートフォース攻撃(総当たり攻撃)
- イ 正解。ショルダーハッキング
- ウ Dos攻撃/DDos攻撃
- エ バッファオーバーフロー攻撃
令和5年度公開問題 問90
情報セキュリティにおける物理的及び環境的セキュリティ管理策であるクリアデスクを職場で実施する例として,適切なものはどれか。
- ア 従業員に固定された机がなく,空いている机で業務を行う。
- イ 情報を記録した書類などを机の上に放置したまま離席しない。
- ウ 机の上のLANケーブルを撤去して,暗号化された無線LANを使用する。
- エ 離席時は,PCをパスワードロックする。
解答 イ
【頭の準備体操】
クリアデスクは,机の上を整理整頓して重要書類などを放置しないこと。
- ア フリーアドレス
- イ 正解
- ウ PCの無線LAN化
- エ クリアスクリーン
令和2年度公開問題 問84
ISMSの情報セキュリティリスク対応における,人的資源に関するセキュリティ管理策の記述として,適切でないものはどれか。
- ア 雇用する候補者全員に対する経歴などの確認は,関連する法令,規制及び倫理に従って行う。
- イ 情報セキュリティ違反を犯した従業員に対する正式な懲戒手続を定めて,周知する。
- ウ 組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求するが,業務を委託している他社には要求しないようにする。
- エ 退職する従業員に対し,退職後も有効な情報セキュリティに関する責任事項及び義務を定めてその従業員に伝え,退職後もそれを守らせる。
- ア ○
- イ ○
- ウ ×。組織の確立された方針及び手順に従った情報セキュリティの適用を自社の全ての従業員に要求し,業務を委託している他社にも要求する。
- エ ○