対象試験と出題頻度
詳細をクリックして確認
ITパスポート試験
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
★★★☆☆
ランクB(標準)
用語の定義
スキャベンジング(ゴミ箱漁り)とは、一言で言うと「廃棄されたゴミ箱や書類、記憶媒体などから機密情報を入手する手法」のことです。
イメージとしては、「ゴミ収集日に出されたゴミ袋を漁って、クレジットカードの明細や個人情報を盗む行為」と同じです。
「scavenge」は英語で「ゴミを漁る」という意味です。「トラッシング(trashing)」とも呼ばれます。捨てた書類やメモ、壊れたと思ったUSBメモリなどから、パスワードや顧客情報が漏えいする危険があります。
解説
スキャベンジングは、ソーシャルエンジニアリング(人間の心理や行動を利用した攻撃)の代表的な手口の一つです。多くの人は「捨てたものは安全」と考えがちですが、ゴミ箱の中には驚くほど多くの機密情報が含まれています。以下のようなものが狙われます。
- 紙の書類: パスワードが書かれたメモ、顧客リスト、契約書、見積書、社内連絡文書など
- 記憶媒体: 廃棄されたUSBメモリ、CD/DVD、古いハードディスク、SDカードなど
- 印刷ミス・コピーミス: 印刷に失敗した機密文書をそのまま捨てるケース
- 付箋・メモ: パスワードや電話番号、アクセス情報が書かれた付箋
スキャベンジングの恐ろしさは、合法的にゴミを入手できてしまう場合があることです。一度ゴミ置き場に出されたものは、法的に「廃棄物」となり、誰でも持ち去れる可能性があります。企業にとっては、廃棄物の管理も重要なセキュリティ対策となります。
具体的な活用例・対策
スキャベンジングを防ぐために、以下のような対策が有効です。
- シュレッダーの使用: 機密書類は必ずクロスカット方式のシュレッダーで細かく裁断してから廃棄する
- 溶解処理サービス: 大量の機密書類は専門業者に依頼し、復元不可能な状態で処理する
- 記憶媒体の物理破壊: USBメモリやハードディスクは、データ消去だけでなく物理的に破壊してから廃棄する
- クリアデスクポリシー: 机上に書類を放置せず、退社時は鍵付きキャビネットに保管するルールを徹底する
- 廃棄ルールの策定: 機密レベルに応じた廃棄方法を明文化し、全従業員に教育する
- 廃棄物置き場の管理: ゴミ置き場への部外者の立ち入りを制限し、施錠管理する
試験ではこう出る!
ITパスポート・情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- ソーシャルエンジニアリング
- トラッシング(スキャベンジングの別名)
- ショルダーハッキング(覗き見)
- クリアデスク・クリアスクリーン
- シュレッダー・溶解処理
- メディアサニタイゼーション(記憶媒体の完全消去)
試験問題で「廃棄された書類やメディアから情報を入手する」「ゴミ箱を漁ってパスワードメモを発見する」といった記述があれば、それは「スキャベンジング(トラッシング)」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. スキャベンジング(ゴミ箱漁り)に関する説明として、最も適切なものはどれでしょうか?
- A. 廃棄されたゴミ箱や書類、記憶媒体などから機密情報を入手する手法
- B. 肩越しや背後から画面やキーボード入力を覗き見て、情報を盗む手法
- C. 正規の社員の後ろについて、不正に入退室管理を突破する手法
正解と解説を見る
正解:A
解説:
スキャベンジング(ゴミ箱漁り)とは、廃棄されたゴミ箱、書類、USBメモリなどの記憶媒体から、パスワードや顧客情報などの機密情報を入手する手法です。「トラッシング」とも呼ばれます。対策として、シュレッダーの使用や記憶媒体の物理破壊が有効です。
Bは「ショルダーハッキング(覗き見)」、Cは「テールゲーティング(共連れ)」の説明です。いずれもソーシャルエンジニアリングの手口ですが、攻撃の対象と方法が異なります。
