「欺術」――ヒューマン・ハッキング・クックブック
コンピュータの名著100冊[参照]で推されて一読、スゴいね、これ。
いわゆる、コンピュータやネットワークの脆弱性を狙った正攻法クラッキングなら多々あれど、これはソーシャルエンジニアリングの事例集。ねとらん無用の逸品だ。
ショルダーハッキングからハードウェアハッキングまで、19の手口が具体的に挙げられている。そして、全てのパターンにあてはまる共通項がある。それは、人間こそが攻略のカナメだということ。
認証デバイス、アクセスコントロール、侵入検出システムなどは、今の企業では必需品(日用品?)かもしれないが、そんな「守り」をいくら固めても、彼らはやすやすと突破できる。なぜなら、それらを相手にしないから。どんな防御であれ、ウィーケストリンク(最も弱い環)になるのが人間だという真実を思い知らされる。
「最も安全なコンピュータは、電源を切ってあるコンピュータだ」とは言い得て妙だが、真実ではない。ソーシャルエンジニアは、もっともらしい口実を駆使して、内部の誰かを口説いてコンピュータの電源を入れてしまうのだ。これは本書で言及されている話だが、ウソでも冗談でもない。
セキュリティ本のほとんどが、ハードウェアとソフトウェアの話に終始し、最も深刻な脅威である人間に対する詐欺的な犯行を扱っていない。この本は、(わたしも含まれる)読者だけでなく、同僚、上司、部下が騙されるときにはどうやって騙されるのかがケーススタディ方式で書かれている。さらに、煽っておしまいではなく、犠牲者にならずに済むための防御の方法、犯行の兆候、予防施策がこれまた事細かに列挙されている。
忙しい方なら p.501 の付録「一目で分かるセキュリティ」を読んで(わずか10ページにまとめてある)、第16章のセキュリティポリシーを取捨選択すればよい。まさに至れり尽せりの一冊なり。
ただし、問題がある。ヒューマン・ハッキングの共通パターンが易々と身に付くので、読み終わったときには「ボクにもできるカモ」と思ってしまうところ。サイト「激裏情報」や「悪のマニュアル」(PC版でない奴、今は絶版)、コミック「ナニワ金融道」、小説なら「白昼の死角」(詐欺小説の傑作)などと一緒。法律スレスレのテクニックと、どこがボーダーラインかの見極めはセンス。よい子はもちろんマネしないが、センスだけは磨いておこう。
実はもう一つ、問題がある… いや、「ない」と言うべきか。何が「ない」のかというと、企業の"外側"からの犯行ばかりで、企業"内"犯罪者の手口・事例が書いてないのだ。企業にとって最も恐るべきなのは、社員の犯行だろう。優秀なエンジニアなら痕跡を完璧に消し去り、企業活動の奔流に犯行を散りばめ呑み込ませるだろう。著者が意図的に書かなかったのは明らかだが、賢明というべきか。あるいは読み手が推して知るべしというメッセージか。獅子身中のワームについは「悪のプログラマ」に書いたが、この辺でやめておこう。

| 固定リンク
コメント
こんばんは。
こういったコンピュータの"イケない技術"をメインに据えた上でまともに駆使した小説ってあんまりないですよねえ。映画やドラマなんかだと未だに、謎のOSが謎の起動を起こして謎のロード画面を表示したあと謎のテキストを表示して謎が解決しました~、っていう冗談みたいな流れをよく見ます。フレデリック・フォーサイスあたりが今の人だったなら、面白い使い方を考えそうだ。
投稿: jackal | 2006.06.08 01:34
>> jackal さん
ここ↓の、「映画の中のコンピュータ」が笑えますね
http://hp.vector.co.jp/authors/VA000092/jokes/
「欺術」を上手に適用した犯罪プランナーを描いた傑作ならシェイマス・スミスの「Mr.クイン」なんてどうでしょう?
コンピュータを中心に据えちゃうと、どうしてもストーリーに「動き」が出なくなるので、難しいんじゃないかと
これを逆手にとって、コンピュータに実体を与えると俄然面白くなりますね。マイクル・クライトン「プレイ――獲物」なんて、ナノマシン(のプログラム)が暴走する話なのですが、よくできてると思います
投稿: Dain | 2006.06.09 00:11