電子的な方法を用いないで、緊急事態を装って組織内部の人間からパスワードや機密情報のありかを不正に聞き出して入手する行為は、どれに分類されるか。
ア:ソーシャルエンジニアリング
イ:トロイの木馬
ウ:パスワードクラック
エ:踏み台攻撃
答:ア
ソーシャルエンジニアリング(social engineering)とは
■電子的な手段ではなく、人間の管理的・物理的な手段によって、パスワードや機密情報などを不正に入手すること。
■ソーシャルハッキング、ソーシャルクラッキングとも呼ぶ。
■ソーシャルエンジニアリングには下記のような手口がある。
□ショルダーハック:他人がパスワードなどを入力する際に、肩越しに入力されている情報を盗み見ること。
□スカビンジング:放置された書類やディスプレイ、オフィスから出されたゴミなどから機密情報を盗み出すこと。トラッシング、ゴミ箱あさりなどとも呼ばれる。
□ピギーバック:正規の入室者の後ろに付いて、同伴者を装い入室すること。
□盗難:情報機器や書類などを物理的に盗み出すこと。
□なりすまし:関係者になりすまして、情報を聞き出したりすること。
トロイの木馬(Trojan horse)とは
■セキュリティ上の脅威となる不正なプログラムの一つ。
■フリーソフトやバージョンアップ用ファイルといった有益なソフトであるかのように偽装していることが多い。
■インストールされると、システムを破壊したり、外部からネットワーク経由でシステムを制御可能にする裏口(バックドア)を作ったりする。また潜伏して時間が経ってから発症するものもある。
■ギリシア神話に登場するトロイの木馬を用いた攻撃手法に似ていることから、この名前で呼ばれている。
■積極的な感染活動や増殖活動をすることはなく、この点でコンピュータウィルスとは区別されている。
パスワードクラック(password crack)とは
■他人のパスワードを電子的に解析し、不正に入手すること。
■辞書に収録された単語を逐一対照してゆく辞書攻撃(ディクショナリーアタック)や、文字列の組み合わせを全て列挙していく総当たり攻撃(ブルートフォースアタック)などの手法がある。
■インターネット上ではパスワードクラック専用のプログラムも配布されている。
■パスワードクラックは犯罪行為であり、不正アクセス禁止法による処罰の対象となる。
踏み台攻撃とは
■他人のサーバを踏み台のように利用し、間接的に不特定多数の第三者に攻撃を行なうこと。
■大量のスパムメールを発信するために、他人のメールサーバを不正利用する場合が典型的な例である。
■一般的には、攻撃元の特定を困難にするため、複数のサイトを踏み台にして攻撃を行う。
■踏み台にされたサーバは被害者であるにもかかわらず、実際に攻撃を受けた側からは加害者に見られてしまい、信用問題に発展する危険性がある。
