IT PASSPORT
ITパスポートの問題解説
問題
ある会社員のもとに、取引のある銀行を名乗る「口座を一時停止しました。下記URLから本人確認をしてください」という電子メールが届いた。記載されたリンクを開くと、本物の銀行サイトとほぼ同じ見た目のログイン画面が表示され、IDとパスワードの入力を求められた。このように、実在の組織をかたるメールで本物そっくりの偽サイトへ誘導し、認証情報を入力させて盗み取る攻撃を何というか。
- ア スミッシング
- イ ファーミング
- ウ フィッシング
- エ ビジネスメール詐欺(BEC)
出典:オリジナル問題|参考範囲:IPA ITパスポート試験シラバス(最新版)、情報処理技術者試験の基礎知識
正解と解説
正解:フィッシング
解説:フィッシング(phishing)は、銀行や通販サイトになりすました電子メールを送り、「口座停止」「アカウント確認」など不安をあおる文面でリンクを押させ、本物そっくりの偽サイトでIDやパスワード、カード番号を入力させて盗む攻撃です。よく似た手口に、SMSを使うスミッシング、DNSを書き換えて正しいURLでも偽サイトへ飛ばすファーミング、経営者などになりすまして送金させるビジネスメール詐欺(BEC)があります。設問は「電子メール+偽サイトで認証情報を入力させる」点が特徴なので、フィッシングが該当します。対策はメール内リンクを安易に押さず、公式サイトをブックマークから開くことです。
覚え方:釣り(fishing)をもじった言葉で「えさ(偽メール)で釣る」のがフィッシング。経路がSMSならスミッシング、DNS改ざんならファーミング、と入口で見分けましょう。
他の選択肢はなぜ違う?
- アスミッシングは電子メールではなくSMS(ショートメッセージ)を悪用して偽サイトへ誘導する手口です。設問は電子メールを使っているため当てはまりません。
- イファーミングはDNSやhostsファイルを書き換え、利用者が正しいURLを入力しても勝手に偽サイトへ誘導する攻撃です。偽メールでリンクを踏ませる設問の手口とは異なります。
- エビジネスメール詐欺(BEC)は取引先や経営者になりすまし、偽サイトではなく担当者をだまして送金や振込をさせる詐欺です。偽サイトで認証情報を盗む設問とは目的・手口が異なります。
この問題について
IPAのITパスポート試験シラバスとIT基礎知識を参考に、Sikaku Master向けに独自作成した問題です。公式試験問題・過去問題の転載ではありません。
IPAの過去問題の転載ではなく、シラバス・公開情報に基づく独自問題として作成しています。