ソーシャルエンジニアはいかなる手口で人を騙すのか?

4587viewsuz_cromagnonuz_cromagnon

このエントリーをはてなブックマークに追加
欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

はじめに

情報セキュリティというと、とかくソフトウェア・ハードウェアといったテクノロジーの面が強調されがちだが、情報がいかに堅牢なテクノロジーで防御されていたとしても、人間を対象とした「ソーシャルエンジニアリング」による攻撃を防ぐ技術的な方法はない。ソーシャルエンジニアはいかなる手口で人を騙すのか?その事例と防御法が解説されている。

ポイント

ソーシャルエンジニアが付け込む隙(これを著者は「人間性の六つの弱さ」と呼ぶ)。翻って、ソーシャルエンジニアリングから身を守るポイント。

・権威に弱い
人間には、地位や権力などの権威を持っている者からの要求に従う傾向がある。ソーシャルエンジニアは会社の重役やIT部門の者の名を語り、社員を騙そうとする。

・好き嫌いに弱い
人間は、感じの良い人物からの要求や、関心や信念や態度などが自分と同じ人物からの要求には従う傾向がある。

・お礼に弱い
人間は、「お礼に何々をするから/あげるから」というタイプの要求に、自動的に従う傾向がある。

・約束に弱い
人間は、ひとつのものごとに自分が積極的に関わったり、肯定的な意思表示をした場合に、そのものごとに関連するその後の要求をなかなか断れない傾向がある。何かをしますよ、と約束したら、その後自分の評価が下がるのを恐れて、あくまでもその約束を実行しようとする。

・横並び社会に弱い
人間は、その要求を聞き入れたら自分もほかの人たちと同じになる、横並びになる、と感じた要求に従う傾向がある。
※今アンケート調査をやっている、あなたの部の××さんと△△さんと○○さんにはすでに協力していただいた、といった語り口で情報を引き出す。

・稀少性に弱い
人間は、供給量が少ないものを入手したいために競争する。

ソーシャルエンジニアが目をつける「カモ」のベスト4

・情報の価値を知らない者(=受付嬢、電話交換手、秘書、警備員)

・特権ユーザ(=ヘルプデスク、技術サポート、システム管理者、コンピュータのオペレータ、電話管理者)

・メーカやベンダ

・特定の部課(=経理部、人事部)

感想

本書は1〜3章がソーシャルエンジニアリングのケーススタディ、4章がその防御策という構成になっているので、興味のある方から読んでもよいかもしれない。しかし多くの読者はケーススタディにあるソーシャルエンジニアたちの手口の巧妙さに驚くのではないかと思う。

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法

  • ケビン・ミトニックウィリアム・サイモン岩谷宏

関連まとめ

本のまとめカテゴリー


コメントを書く