「月刊LASDEC」2004年11月号掲載
「ソーシャル・エンジニアリング」をご存じだろうか? デジタルデバイドの解消や身体障害者に優しいWebページの作成などに関する社会工学的アプローチではない。関係者に電話をしたり,ゴミ箱をあさったりして,パスワードやアクセス方法などを入手してハッキングする方法である。
ケビン・ミトニックは,1990年代前半に著名な企業や大学へのハッキング攻撃を繰り返し,出版社の表現によれば「FBIが最も恐れた史上最強のハッカー」である。カリフォルニア大学のスーパーコンピュータセンターに潜入し同センターの専門家・下村努の追跡をうけることになり,1995年にFBIに逮捕された。そのいきさつは下村努、ジョン・マーコフ著『テイクダウン(上/下)』(徳間書店)に詳しい。
その後,ミトニックは刑期を終えて自由の身になったが,その体験から情報セキュリティ対策,特にソーシャル・エンジニアリングの手口とその対策を著したのが本書である。ウイリアム・サイモンは米国のベストセラー作家であり,ミトニックの原稿を読者に読みやすく編集している。
ハッカーがどのようにして,標的のコンピュータに潜入したか,その手口を数十のシナリオ仕立てで示している。まるで推理小説のサワリの部分を列挙したような内容で面白く読める。
対象をソーシャル・エンジニアリングに絞っているので,技術的な知識はほとんど必要としない。しかし,読んでいる間に,自組織の状況に思い当たりゾッとするであろう。
その手口の1例を示す。最初は社員の氏名や所属を知り,その企業で使われている慣用表現を入手する。次に,その社員になりすまして情報センターへ接触する。社内用語を頻発するので疑われることがなく,いろいろな情報を教えてくれる。すると今度は情報センターの担当者になりすまして,利用者を欺きパスワードを変更させたり,トロイの木馬といわれるウイルスをダウンロードさせたりする。ここまでできれば,いつでもこのネットワークに侵入することができるし,同様な手口により重要なファイルを見つけ出すこともできる・・・。
このように,直接には情報セキュリティに関与していない人が何気なく漏らしたことを,いくつもつなぎ合わせて重要な情報へと接近するのである。その一つひとつは大したことではないのに,結果として大きな犯罪に加担してしまうのである。すなわち,ソーシャル・エンジニアリングとは,手助けをしようとする気持ちや面倒なことを避けようとする思惑など,人間の機微に付け込んで情報を入手しようとする。
行政でも企業でも情報セキュリティ対策が問題になっているが,どうも技術的な面が重視されがちである。しかし,最も脆弱なのは人間である。本書を読むと,このようなソーシャル・エンジニアリング攻撃を防ぎきれる自信はなくなる。逆にいえば,社員全員がこのような危険を理解し実行することが重要である。組織全員に本書を読ませたい。