攻撃者が準備を完了すると、次のステップはターゲットの環境内で優位性を実現するための取り組みです。特に一般的な侵入戦術は、インターネット リンクまたは添付ファイルを含むスピアフィッシング電子メールの使用です。通常、電子メール リンクにより、ターゲットのブラウザや関連ソフトウェアがさまざまなエクスプロイト手法にさらされるサイト、または APT 攻撃者が被害者からの情報を後で使用するソーシャル エンジニアリングを計画するサイトが作成されます。エクスプロイトが成功すると、被害者のコンピュータに初期マルウェア ペイロードがインストールされます。図 2 は、添付ファイルを含むスピアフィッシング電子メールの例を示しています。通常、添付ファイルは実行可能なマルウェア、マルウェアを含むジッパーまたはその他のアーカイブ、または被害者のアプリケーション内の脆弱性を悪用して最終的に被害者のコンピュータ上でマルウェアを実行する悪意のある Office または Adob​​e PDF (Portable Document Format) ドキュメントです。ユーザーが脆弱なソフトウェアを使用して悪意のあるファイルを開くと、ターゲット システム上でマルウェアが実行されます。これらのフィッシングメールは多くの場合、非常に説得力があり、正規の電子メールメッセージと区別するのが困難です。信頼性を高めるための戦術には、組織からの、または組織に関連する正当な文書を変更することが含まれます。以前の悪用操作中に、組織またはその協力者から文書が盗まれることがあります。攻撃者はエクスプロイトや悪意のあるコードを追加してドキュメントを変更し、被害者に送信します。フィッシングメールは通常、以前に侵害されたメールサーバー、ターゲットまたはパブリックメールサービスに関連する組織のメールアカウントを介して送信されます。電子メールは、正当なソースから発信されたように見えるメッセージを形成するために、変更された電子メール ヘッダーを使用してメール リレーを通じて送信することもできます。公開サーバー上の脆弱性の悪用も、一部の APT グループが好んで使用する手法です。これは既知の脆弱性のエクスプロイトを使用して実現されますが、ゼロデイは必要に応じて侵入に使用するために開発または購入されることがよくあります。

ソーシャル エンジニアリングは、人間の相互作用を通じて達成される広範な悪意のある活動に使用される用語です。心理操作を利用してユーザーを騙し、セキュリティ上のミスを犯させたり、機密情報を漏らしたりさせます。
ソーシャル エンジニアリング攻撃には通常、何らかの心理操作が含まれており、無防備なユーザーや従業員をだまして機密データや機密データを引き渡させます。一般に、ソーシャル エンジニアリングには、被害者の緊迫感、恐怖、または同様の感情を呼び起こす電子メールまたはその他のコミュニケーションが含まれており、被害者は機密情報を即座に漏らしたり、悪意のあるリンクをクリックしたり、悪意のあるファイルを開いたりするようになります。ソーシャル エンジニアリングには人的要素が関与するため、企業にとってこれらの攻撃を防ぐのは難しい場合があります。
不正解:
あおり運転と肩車は同じこと
共連れ行為は、ピギーバックとも呼ばれ、許可されていない人が許可された人に続いて安全な施設に侵入する物理的なセキュリティ侵害です。
共連れは、安全であると考えられる多くのセキュリティ メカニズムを回避する簡単なソーシャル エンジニアリング ベースの方法を提供します。従業員が見当違いの礼儀から後ろにいる見知らぬ人のためにドアを押さえていた場合、網膜スキャナーも役に立ちません。
共連れする可能性のある人々には、不満を抱いた元従業員、泥棒、破壊者、いたずら者、従業員や会社との問題が含まれます。これらはいずれもビジネスを中断し、損害を与え、予期せぬコストを発生させ、さらなる安全上の問題につながる可能性があります。
盗聴 https://en.wikipedia.org/wiki/Eavesdropping
盗聴とは、情報を収集するために、他人の個人的な会話や通信を同意なしに密かにまたは密かに聞く行為です。デジタル時代の始まり以来、この用語はサイバーセキュリティの世界でも重要な意味を持つようになりました。
質問では、この攻撃がどのレベルでどのように使用されるかについては明らかにされていません。攻撃者は会話を盗聴したり、特殊なソフトウェアを使用してネットワーク上の情報を入手したりする可能性があります。多くの選択肢がありますが、正解は明らかに情報傍受に関係しないため、これは重要ではありません。