欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法
欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法
ソフトバンククリエイティブ ソフトバンククリエイティブ
¥ 1,995
本書のタイトル、『The Art of Deception』は、つまり他人にうそをついて信用を勝ち取り、あとからその信用を裏切ることで、喜びや利益を得るということだ。ハッカーは婉曲的に「社会工学」という言葉を使う。そして、そのハッカーから崇拝されるケビン・ミトニックが、実際に起こりうるシナリオを描いてみせている
ミトニックが挙げる例を10件ほども見れば、なんらかの組織のセキュリティを担当している者ならば、生きる気力をなくしてしまうだろう。昔からいわれていることだが、セキュリティと人間とは本来相いれないものなのだ。組織とは、モノやサービスを提供することを目的に存在するのであり、有能で親切な従業員がそのモノやサービスを広めようとすることを期待する。人間は他人から好かれることを好む社会的動物なのだ。セキュリティの人的要素をコントロールするということは、だれかを、あるいはなにかを否定することになる。これは不可能なことだ。
ハッカーの崇拝を受けるミトニックの名声を考えると、ハッカーが社会工学を使って攻撃する最後の標的がコンピュータであるというのは皮肉だ。『The Art of Deception』に描かれているほとんどのシナリオは、コンピュータを使わない組織にもあてはまるし、フェニキア人でさえ理解したであろう原則だ。ただテクノロジーの進歩によってより容易に実行できるようになったにすぎない。電話は手紙より早いし、つまるところ、大きな組織を持つということは、大勢の他人とかかわるということなのだ。
ミトニックのセキュリティを守るためのアドバイスは、ほとんどが実用的に聞こえるが、いざ実行に移すとなるとそうでないことに気づく。より効果的なセキュリティを実現するということは、すなわち組織の効率を下げることになるからだ。競争の厳しいビジネスの世界では、効率をなにかの引き換えにするなど、まず不可能な話である。そもそも、「だれも信じてはならない」というルールがあるような職場で働きたいと思う人がいるだろうか。ミトニックは、セキュリティがいかに信頼によって簡単に破られるかを示して見せるが、信頼を抜きにして人は生きられないし、一緒に働くことなどできない。現実の世界では、組織が効果的に機能するためには、完全なセキュリティなど妄想にすぎないことを認めて、保険料を増やすしかないのだ。(Steve Patient, Amazon.co.uk)
--このレビューは、同タイトルのハードカバーのレビューから転載されています。
ハッカーズ その侵入の手口 奴らは常識の斜め上を行く
FBIが恐れた伝説のハッカー〈下〉
FBIが恐れた伝説のハッカー〈上〉
カッコウはコンピュータに卵を産む〈上〉
カッコウはコンピュータに卵を産む〈下〉
■この本を読まずしてセキュリティを語るのは不可能と断言できる必携の書 評価5 日付2008-05-11
日本語版は2003年6月25日リリース。FBIの『最重要指名手配』を最初に受けた史上最強のハッカー、ケビン・ミトニックが自らの手口を全て明かしたことで有名な著作だ。彼がハッキングした会社は1995年だけでも富士通、モトローラ、ノキア、サン・マイクロシステムズなどがあり、彼を逮捕するまでの攻防を描いたNSA(国家安全保障局)の下村努が書いた『若き天才日本人学者VS超大物ハッカー テイクダウン』は、『ザ・ハッカー』として映画化までされている。ミトニックは保護観察違反と、不正アクセスで1995年に服役し、1999年3月司法取引に応じ、同年8月、5年の刑と4,125ドルの罰金の判決が出たが、政府は何と1,500万ドルの請求を行っている。
まず驚きなのが序文をあのアップルの創始者の一人、スティーヴ・ウォズニアックが書いている。しかもケビン・ミトニックを絶賛している。この段階で既に騙されているのかもしれない。読めば読むほど引き込まれ、彼は単にコンピュータ・ネットワークに強いだけでなく、抜群の役者で、凄腕の心理学者であることが分かる。
もっと驚きなのが第16章の『企業の情報セキュリティポリシー』の内容である。この内容はまさに今年4月から日本でも始まったSOX法のIT統制の文章そのものであることだ。保護すべき企業情報にはじまり、具体的な脅威への対応まで一言一句同じではないかと感じるほどだ。つまりSOX法のIT統制はケビン・ミトニックの本書そのものの丸写しである、と言えると思う。これを上梓した学者連中はCOBITなどと偉そうなことを言っているがケビン・ミトニックのコピーをしただけだったのだ。
この本を読まずしてセキュリティを語るのは不可能と断言できる必携の書だ。
■日本の詐欺師の手口の20年ほど先行したノウハウ 評価5 日付2007-05-20
情報時代の高度な詐欺のノウハウについて書いた本書は、世界的なハッカーとして知られたケビン、ミトニックの体験に基づいた手口の解説であるだけに、大いに啓発されるハッキングの手法と防止法についてまとめてある。それを使いこなす能力をソーシャル・エンジニアリングと米国では言うらしいが、日本でオレオレ詐欺とかホリエモンのすぐ尻の割れる手口とか、小泉や安倍の幼稚な詐欺や二枚舌に馴らされたわれわれには、自分で考え出したのではなくアメリカさんから入れ知恵され操られた日本の詐欺師に比べ、流石は情報先進国のアメリカらしいという感じがする。この本は自分の頭で考えることが如何に大切かを教えており、日本のレベルが政治や詐欺でもアメリカに20年遅れだと痛感させられた。
■ソーシャルエンジニアリングとは「詐欺」のこと 評価1 日付2007-04-21
ソーシャルエンジニアリングというとカッコいいけれど端的にいってそれは「詐欺」のことである。社会は相互信頼で成り立っているのに、その信頼を逆手にとって情報を盗んだ。日本で続発している「振り込め詐欺」と本質的には同じである。また、著者の傾向として言葉のすり替えが多い。英米人には鮮やかな詐欺師を賞賛する風土があるように思う。ミトニック自身は家族でシャバットを祝えなかったことをお詫びしたい、と巻末にあるのでどのような背景の人間であるのか推測できよう。FBIでも尻尾を捉えられなかった人物を日本人物理学者が捕まえたことを私たちはもっと誇りに思ってよいだろう。読み方によっては犯罪指南書となってしまうのであえて低い評価にした。第16章の内容はセキュリティ担当者必読!
■必読書 評価5 日付2007-04-14
クラッキングの話ではない。
いかに人間自身がシステムの穴になっているかが書かれている
もし誰かがこの本通りに行えばシステムをのっとられる企業は1つや2つではないだろう
一番すべきことは人間の意識改革
当たり前だがそれが理解できない御仁にこそ薦めたい
■"ハッカー"から学べること 評価4 日付2007-02-17
ソーシャル・エンジニアリングの様々な手法、ケースが
コンパクトに読みやすく列挙されています。
拾い読み、流し読み等、気軽な読み方が出来ます。
セキュリティに関心のある方はもちろん、
対人における心理的なハッキング(≒工夫)のコツを得たい方にも面白く読める本だと思います。
⇒ もっと詳しく調べる