2006年3月9日木曜日

欺術(ぎじゅつ) — 史上最強のハッカーが明かす禁断の技法

 なんかここ最近、Winnyを介した情報漏洩というのが相次いでいまして、それも名だたる大企業や公的な組織 — 学校、警察、自衛隊がそうした被害に遭っているようです。ん? 被害? 実をいうと私はこれらは被害だとはちっとも思っていません。だってね、そもそもファイル交換ソフトと機密性の高い情報を共存させるのがいかんのですよ。それを新聞やなんかはあたかもWinnyという特定のソフトが悪いような見出しを付けて、ですがこれは悪いバイアスですよ。Winnyに感染みたいな誤謬丸出しの見出しを付けた記事も見ましたが、ですが当然のことながら、Winnyはインストールされないことには入りません。ウィルス感染は確かにあったのでしょうが、しかしそれでも漏れて問題になるような情報をそうしたファイル交換ソフトインストール済みの端末に置くというのが問題で、とにかく理解しがたい状況であるとしか言い様がありません。

仕事に使うPCならファイル交換ソフトなんて必要ないでしょう。私用のPCなら、そんな機密情報をなんで持ち帰ってるの? って話にもなります。CNET Japanで読んだ記事によりますと、自治体の情報セキュリティにおける最大の懸案事項は職員の意識なのだそうですが、しっかりしろよ公務員なんてものではなくて、昨今の状況を見るかぎり、問題があるのはすべての職種、すべての職場であるといってもよいのではないかと思います。

というわけで、今日紹介しようというのはソーシャル・エンジニアリングを扱った本。著者のケビン・ミトニックというのは有名なクラッカーでしてね、いろんな企業やら組織やらに侵入して機密情報をいただいたりした人です。そのために捕まって有罪判決を受けたのですが、それでもなんだか不思議と人気のある人です。ちなみに映画にもなったりして、まあそれがまたださいタイトルで、しかも一方的な視点から書かれた本が原作だからと、いいたいことはたくさんあるのですが、やっぱり悪いことして捕まった方が悪いのだということなのでしょう。

で、そのミトニックさんですが、出所後はセキュリティ専門家としてご活躍とのこと。で、彼が明かすクラッキングの手法というのがソーシャル・エンジニアリングなのです。ソーシャル・エンジニアリング、日本語では社会工学と訳されたりしますが、これはいったいどういうものかといいますと、言葉巧みに近づいて情報を聞きだしたりといった、そういう作業のことをいうのです。他にもいろいろ、例えばゴミをあさってみたりというのもソーシャル・エンジニアリングの一手法で、なりすまして電話をかけたり、メモやなんかを盗み見てみたりと、とにかく地道な捜査をするのですね。

私自身はクラッキングに興味はないので、こうした手法を試したことはないのですが、でも実感としてはかなり有効であること疑いなしと思っています。私たちは普段気をつけているつもりでも、存外不用心なものなんですよ。例えばあなたの職場でですよ、事務所をぐるりと一回りして目に付くログインユーザー名とパスワードはいくつありますか? 不用意に出しっぱなしにされているパスワードリストはありませんか? あなたは同僚との会話の最中に、そうした情報を口にのぼしたりはしてませんか? 電話での問い合わせにうっかりパスワードを答えたりしたことはありませんか?

私が昨今話題の情報漏洩のニュースを目にして思ったのは、ちょっとソーシャルな方法で探りを入れたら、きっとざくざくお宝情報が手に入るんだろうなということでした。だから、そうした情報に興味のある方には、ミトニック氏直伝の『欺術』がお勧めです。なにしろここにはソーシャル・エンジニアリングの基礎技術がしっかり紹介されていますからね。

余談

こうした本を一番読むべきなのは、情報を守るべき側であるのはいうまでもないのであって、本文の反語的表現を額面どおり受け取ったりするのは、本当によしてくださいよ。

参考

0 件のコメント: