ITパスポート 令和6年度 公開問題(過去問) 問73 について解説します。
問題
問73 IoT機器のセキュリティ対策のうち、ソーシャルエンジニアリング対策として、最も適切なものはどれか。
ア IoT機器とサーバとの通信は、盗聴を防止するために常に暗号化通信で行う。
イ IoT機器の脆弱性を突いた攻撃を防止するために、機器のメーカーから最新のファームウェアを入手してアップデートを行う。
ウ IoT機器へのマルウェア感染を防止するためにマルウェア対策ソフトを導入する。
エ IoT機器を廃棄するときは、内蔵されている記憶装置からの情報漏えいを防止するために物理的に破壊する。
解説・解答
ソーシャルエンジニアリングとは
ソーシャルエンジニアリング(Social Engineering)とは、人間の心理的な隙や不注意を突いて、情報やシステムへのアクセス権を不正に取得する手法です。
(主な手口)
・電話でのなりすまし(例:「システム部の○○です。パスワードを教えてください」)
・ごみ箱から情報を回収
・捨てられた機器からのデータ復元(記憶装置の解析)
・見知らぬUSBメモリの拾得による感染・情報漏えい
それぞれの選択肢について確認します。
ア: IoT機器とサーバとの通信は、盗聴を防止するために常に暗号化通信で行う。
これは「通信セキュリティ(情報の機密性)」を高める技術的対策です。例えば HTTPS や VPN、TLS などが該当します。通信の暗号化はネットワーク上の盗聴対策であり、ソーシャルエンジニアリング(人間的な攻撃)への対策ではありません。
イ: IoT機器の脆弱性を突いた攻撃を防止するために、機器のメーカーから最新のファームウェアを入手してアップデートを行う。
これは既知のセキュリティホールをふさぐための技術的な脆弱性対策です。セキュリティパッチ適用やアップデートは基本的なセキュリティ行動です。ソーシャルエンジニアリングではなく、技術的攻撃への対応策です。
ウ: IoT機器へのマルウェア感染を防止するためにマルウェア対策ソフトを導入する。
これはマルウェア(ウイルスやワーム)の侵入や実行を防ぐ技術的対策です。エンドポイントプロテクションなどのセキュリティソフトの導入が該当します。ソーシャルエンジニアリングではなく、ソフトウェアベースの悪意あるコードから守る技術的対策です。
エ: IoT機器を廃棄するときは、内蔵されている記憶装置からの情報漏えいを防止するために物理的に破壊する。
これはソーシャルエンジニアリング対策に該当します。
IoT機器には、ユーザー情報・Wi-Fi接続設定・センサー記録などが内部ストレージに保存されています。廃棄時に初期化していない場合、悪意ある第三者が解析すれば、これらのデータを復元・盗用可能です。
(例)
・工場で使われていたIoTセンサーデバイスを廃棄 → 回収業者が内部の操作履歴やネットワーク情報を取得 → 他システムに侵入
・自宅で使っていたスマートカメラ → 映像記録やログが残ったままフリマサイトに出品 → プライバシー情報流出
上記を防止するには初期化だけでは不十分で、物理的破壊(ハンマー等)やデータ完全消去ソフトの使用が望ましいです。ソーシャルエンジニアリングはこうした管理ミスを狙うため、物理破壊は重要な防御策です。
以上により、この問題の解答は「エ」になります。
