問14 ソーシャルエンジニアリング手法を利用した標的型攻撃メールの特徴はどれか。

ア 件名に”未承諾広告※”と記述されている。
イ 件名や本文に、受信者の業務に関係がありそうな内容が記述されている。
ウ 支払い必要がない料金を振り込ませるために、債権回収会社などを装い無差別に送信される。
エ 偽のホームページにアクセスさせるために、金融機関などを装い無差別に送信される。


正解 イ


解説

ア 不正解 特定電子メール法関係
”未承諾広告※”とは、2007年に施行された「特定電子メール法」に基づく、無許可広告メールのタイトルに差し込む事を義務付けられた文言。
迷惑メールに「迷惑メール」と記述するような物で、有名無実化の末、2008年には無許可広告メール自体が禁止されました。

イ 正解
ソーシャルエンジニアリングとは、清掃業者としてオフィスに紛れ込んだり、総務部やシステム監査の人間になりすましたりと「技術的」ではなく「心理的・社会的」な攻撃手法で、どちらかと言うと「企業や組織をだまし情報を盗み取る」攻撃手法全般を指します。
ウやエの選択肢も広義ではソーシャルエンジニアリングと言えますが、今回の選択肢の中ではイが最もソーシャルエンジニアリング的です。

ウ 不正解 振り込め詐欺の説明です。

エ 不正解 フィッシング詐欺、フィッシングメールの説明です。
偽のwebサイト等にアクセスさせて、ウィルスやワームの感染を狙ったり、銀行などのログイン画面を表示してIDとパスワードを入力させます。
フィッシング詐欺への対策は、ソフトウェアのバージョンアップでセキュリティホールを残さない、サイトのURLや証明書を確認して不正なサイトにIDとパスワードを入力しない事が重要です。