基本情報技術者試験「認証」の問題
L社のヘルプデスクに、社員を名乗る人物から『出張先でパスワードを忘れた。急ぎなので電話で仮パスワードを教えてほしい』という連絡が入った。声から本人かどうかは判断できない。ヘルプデスク担当者の対応として、最も適切なものはどれか。
ア急ぎとのことなので相手の業務を止めないことを優先し、口頭で速やかに仮パスワードを伝える。
イ登録済み連絡先へのコールバックなど規定の手続を踏み、確認できた場合に限り進める。
ウ社員番号を口頭で尋ね、正しく答えられたら本人とみなして対応する。
エ直属の上長の名前を尋ね、知っていれば仮パスワードを伝える。
正解
イ.登録済み連絡先へのコールバックなど規定の手続を踏み、確認できた場合に限り進める。
電話で緊急性を装ってパスワードを聞き出すのはソーシャルエンジニアリングの常套手段である。緊急性に動じず、登録済み連絡先へのコールバックなど組織で事前に定めた本人確認手続を厳格に踏み、確認できた場合に限り進めるのが正しい。例外を作らない点が肝要である。
?選択肢ごとの解説
ア ×緊急性を理由に確認を省くのは攻撃者の狙い通りで、なりすましに認証情報を渡す最悪の対応である。
イ ○電話で緊急性を装ってパスワードを聞き出すのはソーシャルエンジニアリングの常套手段である。緊急性に動じず、登録済み連絡先へのコールバックなど組織で事前に定めた本人確認手続を厳格に踏み、確認できた場合に限り進めるのが正しい。例外を作らない点が肝要である。
ウ ×社員番号は名刺や漏えい情報から入手可能で本人しか知り得ない秘密ではないため、これだけで本人確認とするのは不十分である。
エ ×上長の名前は組織図や公開情報から容易に知り得るため、本人性の証明にならず確認手段として弱い。
✎くわしく
ソーシャルエンジニアリング対策の核心は『緊急性・権威・親近感といった心理的揺さぶりに屈せず、定められた手続を機械的に遵守する』ことである。本人確認は『本人しか知り得ない/持ち得ない要素』に基づく必要があり、公開・流出しやすい情報では不十分である。
✓本番での押さえどころ
試験のコツ
電話+緊急+認証情報要求はソーシャルエンジニアリングの典型。例外を作らず規定の本人確認を貫くのが正解。
覚え方
『急がせる相手ほど確認する』。緊急という言葉は攻撃者の常套句と覚える。
よくある誤り
社員番号や上長名など『それらしい情報』を答えられれば本人と信じてしまう。これらは秘密情報ではない点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0012