情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

2.脅威 > 2.5 ソーシャルエンジニアリング

「緊急事態を装う不正な手段によって組織内部の人間からパスワードや機密情報を入手する行為(H19FE秋午前問68参照)」を何と言うか。
人的脅威の例は社員による情報持ち出しや、ソーシャルエンジニアリングがあります。socialとは「社会的な」という意味で、技術的以外の方法でセキュリティを脅かす。たとえば、パスワードを盗み聞きしたり、パソコンの画面を盗みみたり、ごみ箱から顧客情報を拾う行為などがあります。
853de33a.jpg
過去問では、ソーシャルエンジニアリングの例が問われている。
H19SV 問47 ソーシャルエンジニアリングに該当する行為はどれか。
ア OSのセキュリティホールを突いた攻撃を行う。
イ コンピュータウイルスを作る。
ウ パスワードを辞書攻撃で破ってコンピュータに侵入する。
エ 本人を装って電話をかけ,パスワードを聞き出す。
(H19SV 午前問題 問47より)
正解はエである。
今は、外部より内部の犯行の比率のほうが高いようだ。
ケビンミトニックの本にソーシャルエンジニアリングのことがたくさん書かれてある。是非ご覧あれ。

2
情報システム部に産業スパイが入ったらあっという間にやられますね。





本当にそう。特に最近はコスト削減のために運用をするために派遣社員を雇うことが多い。これらの人は24時間365日の保守を行うので、管理者権限を持っているし、それを堂々と使える。リモートアクセス権限がなくても、自分専用のリモートアクセスの口を用意することも簡単にできてしまう。正社員ならば入社のハードルがかなり高いのである程度信頼できるが、派遣社員は人の入れ替わりも早く、産業スパイが本当に入ってくるかもしれないのだ。

scavengeとはごみ箱をあさるという意味。トラッシング(H27年春FE午後問1の選択肢にあった)も同じである。
ゴミ箱に捨てられた機密情報や個人情報を盗むというソーシャルエンジニアの手法。
※トラッシュ(trash)とは、「ゴミ」という意味である。
過去問(H25SC春午前2問5不正解選択肢)では、「企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,オフィスの紙ゴミの中から不用意に捨てられた機密情報の印刷物を探し出す」とある。
シュレッターに入れずにゴミ箱に入れる人がいるから、そういうところから情報が漏れることもあるだろう。
55c44db1

でも実際には無理ではないですか?
掃除のおばちゃんに変装して社内に入らなければいけないし、ゴミ箱をあさっていたら誰かにあやしまれるでしょう。
TVドラマでは、夜に忍び込んでゴミをあさるシーンがありますが、、、。

そんな方法はたしかに無理だね。
社内のゴミ箱をあさるのではなく、オフィスの外のゴミ捨て場をあさる。ゴミ捨て場はカギがかかっていないし、変装した人がゴミを分別するふりでもすれば、違和感ないでしょ。

このページのトップヘ