情報セキュリティ

基本情報技術者試験フィッシング」の問題

情報セキュリティ情報セキュリティ難易度:normal
E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行サイトとよく似たログイン画面が表示された。このメールがフィッシングか否かを従業員が判断するうえで、最も信頼できる確認方法はどれか。
本文の日本語に不自然な表現や誤字脱字が含まれていないかを最後まで読み返す。
メールに記載された問い合わせ電話番号へ連絡し、本物かどうかを尋ねる。
表示されたログイン画面のロゴや配色が本物と一致するか見比べる。
登録済みの銀行ブックマークから接続し、口座更新の要否を確かめる。
正解
登録済みの銀行ブックマークから接続し、口座更新の要否を確かめる。

メール内のリンク・連絡先・本文はすべて攻撃者が偽装可能である。これらに依存せず、利用者があらかじめ登録した銀行のブックマーク(正規URL)から直接接続して口座更新の要否を確認すれば、偽サイトに誘導される経路を断てる。

?選択肢ごとの解説

ア ×近年のフィッシングは日本語が自然なものも多く、誤字の有無だけでは判別できず信頼性が低い。
イ ×メールに記載された電話番号自体が攻撃者の偽番号である可能性があり、それに掛けても偽の確認をされるだけである。
ウ ×偽サイトは本物そっくりに作られるため、見た目の一致は本物である根拠にならず、むしろ騙される。
エ ○メール内のリンク・連絡先・本文はすべて攻撃者が偽装可能である。これらに依存せず、利用者があらかじめ登録した銀行のブックマーク(正規URL)から直接接続して口座更新の要否を確認すれば、偽サイトに誘導される経路を断てる。

くわしく

フィッシング対策の原則は『メールに書かれた情報を信用の起点にしない』ことである。リンク・電話番号・送信元はすべて詐称可能なため、利用者側が独立して保持する正規の接点(公式ブックマーク、別途入手した連絡先)を経由するのが鉄則である。

本番での押さえどころ

試験のコツ

フィッシング判別では『メール内の情報経由か/メール外の正規経路経由か』が決め手。正規URLへ自分でアクセスが正解。

覚え方

『メールの中の道は通らない』。確認は自分の知っている正面玄関(正規URL)から。

よくある誤り

『日本語が変なら偽物』『見た目が同じなら本物』という旧来の感覚で判断してしまう。攻撃の巧妙化で外観判別は通用しない。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0005

【基本情報技術者試験】フィッシングの問題 — 解答・解説|ukamiru 過去問