欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法読了。
ソーシャルエンジニアリングの本です。
ソーシャル・エンジニアリング
出典: フリー百科事典『ウィキペディア(Wikipedia)』
ソーシャル・エンジニアリングは、人間の心理的な隙をついて、個人が持つ秘密情報を聞き出す方法のこと。ソーシャル・ワークとも呼称される。
なお、今日喧しいフィッシングやスキミングは、行為自体はコンピュータ内で閉じているが、人間心理的な隙をついている点では同様である。
日本では一時期、喧しかったソーシャルですが。
むしろ論点がISMSなどの情報セキュリティマネジメント中心に移ってしまいました。もちろんそれは重要ではあるのです。ですがそれは、ソーシャル対策としてどこまでがカヴァーされているのか。というよりもソーシャルについてはみんな全く知らないと言ってもいいのではないでしょうか?ってこの本を読んで思いました。
私もかつて在籍していた某2社では、調度ISMS取得のタイミングに居合わせたのでちょっとは経験したとは思っているのですが…。甘い甘い。ソーシャルのテクニック、奥の深さはこの本を読まなきゃ語れない…最低限でもね。
ISMSとかPマーク導入した企業?でもそんなもんはこの本で出てくるテクニックで簡単に突破されてしまいます。と、思うなー特に日本企業。(本来ISMSとかPマークはソーシャルの対策目的では無いのかも…。定義によると)
ISMS
プライバシーマーク
出典: フリー百科事典『ウィキペディア(Wikipedia)』
この本にはソーシャルなのでもちろんゴミ箱漁りのテクも出てきますが、基本は人間の心理の隙を突いた、トーク、電話など。たった一本の電話で。ある人のFAX番号を聞きだすだけで…。もちろんFAX番号を教えたからって?でもそれがある場所のFAXで…そこにある人から書類を送付させ、さらにそのFAXをその部屋の人に口頭で読み上げさせ…。
専門用語の持つ罠、退屈な仕事から一瞬の人助けを味あわせ、権威に弱い、お願い事に弱い…などなど人間心理の隙を突く方法が盛りだくさん。
ほとんどが実践ベースなのでこのまま実行出来てしまうほどのやばさ。匿名匿事例なのですが、これはリアルすぎるだろ、とか専門用語・内部マニュアルはここで公開されているとURLが付いていたり…。またケビン・ミトニックが実名での若い頃の実例も出てきます。
著者があの、ケビン・ミトニックなのですよ。
ケビン・ミトニック
出典: フリー百科事典『ウィキペディア(Wikipedia)』
もちろん、いまでは興味本位での公開ではなく警鐘を鳴らす意味なのでしょうが。
いわゆるITを駆使したpasswdのshadowをhashでhogehogeとかは後半にちょっと出てくるくらいなもんです。
ある意味、ITでのクラックよりソーシャルの方が、恐ろしい。ITでのクラックより簡単だから…。しかもこの本のエピソードでも出てきますが、中高生でも実践できる危険性もある。現状では攻める方が圧倒的優位?にある日本な気がするし。
うーん。どう説明しても重要さが伝わらない。全てのIT企業&セキュリティ関係者の学級文庫??として推薦図書とすべき良本です。
コメント
この「欺術」ってここではネガティブに使われてるけど、
きっとコミュニティ運営や組織運営にも応用できるね。
「ソーシャルエンジニアリング」って言葉ももうちょっと
ポジティブな意味も持った方が生産的だと思う。
人間に関する研究ってまだまだこれからだ。
> この「欺術」ってここではネガティブに使われてるけど、
> きっとコミュニティ運営や組織運営にも応用できるね。
なるほど。そういう見方もあるね。
人間心理の研究の一方向だしね。変な方向に向かいすぎですが、方向さえ転じれば。
この本も会社に置いておきます。
(*^_^*)