sg sg-security-overview threat_vulnerability unauthorized_access
まず結論
- 端数処理を悪用した不正とは、計算や丸め処理で発生する小さな差額を、不正に別の口座などへ集める手口です。
- SG試験では、少額を多数から詐取するサラミ法の具体例として理解すると切り分けやすくなります。
直感的な説明
端数処理を悪用した不正は、「小さすぎて気づかれにくい差額」を集めるイメージです。
たとえば、利息計算や手数料計算で、1円未満の端数が発生したとします。
通常は、ルールに従って切捨て、切上げ、四捨五入などを行います。
しかし、その端数や差額を不正に集めるようにプログラムを改ざんすると、1件あたりは小さくても、多数の取引から集めることで大きな不正利益になります。
ここが、サラミ法と強く関係する点です。
少額なので気づかれにくい。多数から集めるので合計は大きい。
この感覚を押さえておくと、SG試験の選択肢を切りやすくなります。
定義・仕組み
端数処理を悪用した不正は、金額計算やポイント計算などで発生する端数・丸め誤差・差額を、正しい処理に見せかけて不正に取得する行為です。
SG試験の出題範囲では、コンピュータ犯罪や攻撃手法は「脅威、脆弱性、サイバー攻撃手法」などの文脈で扱われます。試験範囲全体は、IPAの情報セキュリティマネジメント試験 出題内容で確認できます。
基本の流れは、次のように考えると分かりやすいです。
- 金額やポイントの計算で端数が発生する
- 端数処理のルールを悪用する
- 利用者が気づきにくい少額の差額を集める
- 多数の取引を通じて不正利益を得る
この手口は、サラミ法の典型例として説明されることがあります。
サラミ法は、多数の資産から少しずつ詐取する手口です。
端数処理を悪用した不正は、その「少しずつ詐取する」方法の一つと考えると理解しやすくなります。
ただし、すべての端数処理が不正というわけではありません。
業務上、端数処理は必要です。
問題になるのは、定められた処理ルールに反して、端数や差額を不正に取得することです。
どんな場面で使う?
端数処理を悪用した不正は、次のような場面で考えられます。
- 利息計算
- 手数料計算
- 給与計算
- ポイント計算
- 取引金額の丸め処理
- 為替や単価計算
これらの処理では、1件ごとの端数は小さくても、対象件数が多いと差額が大きくなることがあります。
そのため、業務では次のような管理が重要になります。
- 端数処理ルールを明確にする
- プログラム変更を承認制にする
- 計算結果や差額をログで確認する
- 定期的に突合・監査を行う
- 開発者が本番データを自由に操作できないようにする
SG試験では、技術的な計算式よりも、小さな差額を不正に集める構造を理解することが大切です。
選択肢では、次の表現があれば注意します。
- 端数
- 少額
- 多数の取引
- 気づかれにくい
- 差額を集める
- 不正に詐取する
これらが組み合わさっていれば、サラミ法またはその具体例を疑います。
よくある誤解・混同
端数処理そのものが不正という誤解
端数処理そのものは不正ではありません。
金額計算では、1円未満の端数や小数点以下の値が出ることがあります。
そのため、切捨て、切上げ、四捨五入などの処理は業務上必要です。
不正になるのは、決められたルールに反して、差額を自分や第三者の利益にする場合です。
サラミ法との違い
サラミ法は、少額を多数から詐取する手口全体を指します。
端数処理を悪用した不正は、その具体例の一つです。
つまり、関係は次のように整理できます。
| 用語 | 意味 | 関係 |
|---|---|---|
| サラミ法 | 多数の資産から少しずつ詐取する手口 | 大きな分類 |
| 端数処理を悪用した不正 | 計算上の端数や差額を不正に集める行為 | サラミ法の具体例 |
SG試験では、「少額を多数から詐取」という説明ならサラミ法、「端数や丸め処理の差額を集める」という説明なら、サラミ法の具体例として考えるとよいです。
盗聴との違い
盗聴は、ネットワーク上を流れる通信内容を不正に読み取る行為です。
端数処理を悪用した不正は、通信を読むことではなく、計算や処理の差額を不正に取得することです。
選択肢に「通信」「傍受」「送受信データ」とあれば、盗聴を疑います。
スキャビンジングとの違い
スキャビンジングは、コンピュータ内部や周辺、廃棄物などに残された情報を探して入手する行為です。
端数処理を悪用した不正は、残された情報を探すのではなく、処理の差額を集める手口です。
選択肢に「残っている情報」「ゴミ箱」「廃棄物」「探索」とあれば、スキャビンジングを疑います。
SG試験でのひっかけポイント
SG試験では、次のような表現で迷わせてくることがあります。
- 少しずつ情報を探す
- 少しずつ金銭を取る
- 通信から少しずつデータを読む
- 端数を集める
ここでは、「少しずつ」という言葉だけで判断しないことが大切です。
判断基準は、何を少しずつ取っているかです。
- 金銭や資産を少しずつ詐取 → サラミ法
- 端数や差額を集める → サラミ法の具体例
- 通信内容を読む → 盗聴
- 残った情報を探す → スキャビンジング
まとめ(試験直前用)
- 端数処理を悪用した不正は、計算上の小さな差額を不正に集める手口です。
- サラミ法は、少額を多数から詐取する手口全体を指します。
- 端数処理を悪用した不正は、サラミ法の具体例として理解できます。
- 「端数処理」自体は不正ではなく、ルール違反で差額を取得することが問題です。
- SG試験では、少しずつ何を取っているかを見て選択肢を切り分けます。
🔗 関連記事
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】
- ブラックリストとホワイトリストの違いとは?判断基準を整理【SG試験】
- ブロック暗号とストリーム暗号の違いとは?暗号方式を整理【SG試験】