欺術

ケビン・ミトニック他

傑作(30点)
2003年8月2日
わたなべ

あのミトニックのソーシャルエンジニアリングの本。ソーシャルエンジニアリングとは、要は人を騙して必要な情報を手に入れる方法のこと。電話をかけて社員や顧客のフリをして次々に人を騙してしまう。この本では、実際に手間をかければどうにでも騙せるという実例を次々に挙げている。最近話題のオレオレ詐欺なんかも基本的には同じ手口である(まあ、オレオレ詐欺はやり方が単純すぎるが)。

この手法は非常に簡単に成立してしまうらしい。実際に電話で情報を聞き出そうとするというのは会社では日常的に起きていて、時々バレている。でも電話だと捕まらないので安全だよね。しかもそうやって聞き出すことは犯罪ではないらしい。日本の法律でどうかについては謎だが。

ミトニックはこのソーシャルエンジニアの攻撃を防ぐために必要なのは、プロトコルだと言う。相手が本人であることを認証するための手順だ。なんとなく道順や名前、部署の構成を知っているとか、内線番号を知っているとか、そういう機密に属さない情報だけでは認証にならない。

結局いろんなソフトのセキュリティホールがどうの、パッチを当てろのどうのと言ったところで、ソーシャルエンジニアに対抗することは永遠にできない。これは頭の痛い問題だが、この本を読むことで少しは防ぐことができるかもしれない。内容もおもしろい。読んで損はないだろう。

「続き」には、ミトニックが社長を務める会社のページを示しておく。

続き

コメント

あるね ひっちぃ
会社で平気で人の名前を語って電話で何かを聞き出している現場にいたことが一回ある。なんというか、妙な感じがした。こういうことに何の抵抗もない人がこんなに身近にいたのだということにも静かに驚いた。

詳細