基本情報技術者試験「フィッシング」の問題
E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行サイトとよく似たログイン画面が表示された。このメールがフィッシングか否かを従業員が判断するうえで、最も信頼できる確認方法はどれか。
ア本文の日本語に不自然な表現や誤字脱字が含まれていないかを最後まで読み返す。
イメールに記載された問い合わせ電話番号へ連絡し、本物かどうかを尋ねる。
ウ表示されたログイン画面のロゴや配色が本物と一致するか見比べる。
エ登録済みの銀行ブックマークから接続し、口座更新の要否を確かめる。
正解
エ.登録済みの銀行ブックマークから接続し、口座更新の要否を確かめる。
メール内のリンク・連絡先・本文はすべて攻撃者が偽装可能である。これらに依存せず、利用者があらかじめ登録した銀行のブックマーク(正規URL)から直接接続して口座更新の要否を確認すれば、偽サイトに誘導される経路を断てる。
?選択肢ごとの解説
ア ×近年のフィッシングは日本語が自然なものも多く、誤字の有無だけでは判別できず信頼性が低い。
イ ×メールに記載された電話番号自体が攻撃者の偽番号である可能性があり、それに掛けても偽の確認をされるだけである。
ウ ×偽サイトは本物そっくりに作られるため、見た目の一致は本物である根拠にならず、むしろ騙される。
エ ○メール内のリンク・連絡先・本文はすべて攻撃者が偽装可能である。これらに依存せず、利用者があらかじめ登録した銀行のブックマーク(正規URL)から直接接続して口座更新の要否を確認すれば、偽サイトに誘導される経路を断てる。
✎くわしく
フィッシング対策の原則は『メールに書かれた情報を信用の起点にしない』ことである。リンク・電話番号・送信元はすべて詐称可能なため、利用者側が独立して保持する正規の接点(公式ブックマーク、別途入手した連絡先)を経由するのが鉄則である。
✓本番での押さえどころ
試験のコツ
フィッシング判別では『メール内の情報経由か/メール外の正規経路経由か』が決め手。正規URLへ自分でアクセスが正解。
覚え方
『メールの中の道は通らない』。確認は自分の知っている正面玄関(正規URL)から。
よくある誤り
『日本語が変なら偽物』『見た目が同じなら本物』という旧来の感覚で判断してしまう。攻撃の巧妙化で外観判別は通用しない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…G社では情報セキュリティインシデントが発生した際、各部署が個別に対応し、被害状況の集約や対外的な情報発信が混乱した経緯がある…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0005